CD Direkt 1995 #6

home *** CD-ROM | disk | FTP | other *** search

/ CD Direkt 1995 #6 / CDD_6_95.ISO / cdd / avirus / tbavw634 / tbav.doc < prev next >

Wrap

Text File | 1995-03-01 | 341.4 KB | 8,131 lines

TBAV Handbuch (C) 1993 Thunderbyte B.V. INHALT KAPITEL 0. EINFÜHRUNG 1. Zum Gebrauch dieses Handbuchs . . . . . . . . . . . . . 0 - 1 2. Überblick über die TBAV-Utilities . . . . . . . . . . . 0 - 1 KAPITEL I. INSTALLATION VON TBAV 1. TBAV installieren . . . . . . . . . . . . . . . . . . . I - 1 1.1 Erstinstallation . . . . . . . . . . . . . . . . I - 1 1.2 Windows . . . . . . . . . . . . . . . . . . . . . I - 4 2. Konfiguration . . . . . . . . . . . . . . . . . . . . . I - 6 3. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . I - 8 3.1. Der Zweck von TbSetup . . . . . . . . . . . . . I - 8 3.2. Benutzung von TbSetup . . . . . . . . . . . . . I - 8 3.3. Startoptionen . . . . . . . . . . . . . . . . . I - 13 3.4. Programmablauf . . . . . . . . . . . . . . . . . I - 15 4. TbDriver . . . . . . . . . . . . . . . . . . . . . . . I - 18 4.1. Der Zweck von TbDriver . . . . . . . . . . . . . I - 18 4.2. Startoptionen . . . . . . . . . . . . . . . . . I - 18 4.3. Sprachunterstützung . . . . . . . . . . . . . . I - 20 5. Systempflege . . . . . . . . . . . . . . . . . . . . . I - 21 6. Netzwerkpflege . . . . . . . . . . . . . . . . . . . . I - 23 6.1. Verwenden von DOS REPLACE . . . . . . . . . . . I - 23 6.2. Verwenden von PkUnZip . . . . . . . . . . . . . I - 23 KAPITEL II. ANTI-VIREN-STRATEGIE 1. Schutz gegen Viren . . . . . . . . . . . . . . . . . . II - 1 1.1. Einführung . . . . . . . . . . . . . . . . . . . II - 1 1.2. Grundsätzliche Vorkehrungen . . . . . . . . . . II - 1 2. Was bei einem Virenbefall zu tun ist . . . . . . . . . II - 6 2.1. Aufspüren von Viren . . . . . . . . . . . . . . II - 6 2.2. Beseitigung von Viren . . . . . . . . . . . . . II - 7 KAPITEL III. VERWENDUNG DER TBAV-UTILITIES 1. TbScan . . . . . . . . . . . . . . . . . . . . . . . III - 1 1.1. Der Zweck von TbScan . . . . . . . . . . . . . III - 1 1.2. Benutzung von TbScan . . . . . . . . . . . . . III - 2 1.3. Startoptionen . . . . . . . . . . . . . . . . III - 9 1.4. Der Scan-Vorgang . . . . . . . . . . . . . . . III - 14 2. TbScanX . . . . . . . . . . . . . . . . . . . . . . III - 18 2.1. Der Zweck von TbScanX . . . . . . . . . . . . III - 18 2.2. Benutzung von TbScanX . . . . . . . . . . . . III - 18 2.3. Startoptionen . . . . . . . . . . . . . . . . III - 19 2.4. Der Scan-Vorgang . . . . . . . . . . . . . . . III - 22 3. TbCheck . . . . . . . . . . . . . . . . . . . . . . III - 23 3.1. Der Zweck von TbCheck . . . . . . . . . . . . III - 23 3.2. Benutzung von TbCheck . . . . . . . . . . . . III - 23 3.3. Startoptionen . . . . . . . . . . . . . . . . III - 24 3.4. Während der Überprüfung . . . . . . . . . . . III - 26 3.5. TbCheck testen . . . . . . . . . . . . . . . . III - 26 4. TbClean . . . . . . . . . . . . . . . . . . . . . . . III - 27 4.1. Der Zweck von . . . . . . . . . . . . . . . . III - 27 4.2. Benutzung von TbClean . . . . . . . . . . . . III - 28 4.3. Startoptionen . . . . . . . . . . . . . . . . III - 30 4.4. Der Cleaning-Prozeß . . . . . . . . . . . . . III - 31 TBAV Handbuch (C) 1993 Thunderbyte B.V. INHALT 5. Fortlaufende Viren-Prävention: TbMon . . . . . . . . III - 35 5.1. TbMem . . . . . . . . . . . . . . . . . . . . III - 37 5.2. TbFile . . . . . . . . . . . . . . . . . . . . III - 40 5.3. TbDisk . . . . . . . . . . . . . . . . . . . . III - 42 6. TBAV-Tools . . . . . . . . . . . . . . . . . . . . . III - 48 6.1. TbUtil . . . . . . . . . . . . . . . . . . . . III - 48 6.2. StackMan . . . . . . . . . . . . . . . . . . . III - 56 KAPITEL IV. INFORMATIONEN FÜR FORTGESCHRITTENE ANWENDER 1. Speicheranforderungen . . . . . . . . . . . . . . . . . IV - 1 2. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . IV - 3 2.1. Hinweise zur Gestalt der Anti-Vir.Dat-Dateien . IV - 3 2.2. Format der TbSetup.Dat . . . . . . . . . . . . . IV - 3 2.3. TBAV-Installation auf mehreren Rechnern . . . . IV - 5 3. TbScan . . . . . . . . . . . . . . . . . . . . . . . . IV - 7 3.1. Die heuristische Suche . . . . . . . . . . . . . IV - 7 3.2. Integritätsprüfung . . . . . . . . . . . . . . . IV - 8 3.3. Programme zulassen . . . . . . . . . . . . . . . IV - 9 3.4. Die Algorithmen . . . . . . . . . . . . . . . . IV - 9 3.5. Die TbScan.Lng-Datei . . . . . . . . . . . . . IV - 10 4. TbClean . . . . . . . . . . . . . . . . . . . . . . . IV - 12 5. TbGensig . . . . . . . . . . . . . . . . . . . . . . IV - 15 5.1 Der Zweck von TbGenSig . . . . . . . . . . . . IV - 15 5.2 Signaturen definieren . . . . . . . . . . . . . IV - 15 5.3 Schlüsselworte . . . . . . . . . . . . . . . . IV - 18 5.4 Platzhalter . . . . . . . . . . . . . . . . . . IV - 21 ANHANG A. TBAV-Meldungen ANHANG B. TbScan - Beschreibung der heuristischen Flags ANHANG C. Lösen von Kompatbilitätsproblemen ANHANG D. Exit-Codes ANHANG E. Benennung von Viren TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0 KAPITEL 0. EINFÜHRUNG 1. Zum Gebrauch dieses Handbuchs Gratulation! Durch den Erwerb der der ThunderBYTE Anti-Viren-Utilities haben Sie den ersten Schritt unternommen, einen sicheren Schutzwall um Ihr Computersystem zu errichten. Eine angemessene Abwehr unter Verwen- dung der TBAV-Utilities aufzubauen, ist eine 'persönliche Angelegen- heit'. Deshalb empfehlen wir Ihnen dringend, dieses Handbuch gründlich durchzuarbeiten, um zu klären, welche der unterschiedlichen Sicherheits- maßnahmen Sie einsetzen sollten. Dieses Handbuch gliedert sich in vier Hauptkapitel. Im Kapitel I erhal- ten Sie eine Anleitung, wie Sie die TBAV-Utilities auf Ihrer Festplatte installieren. Außerdem geben wir Ihnen hier zusätzliche Tips für eine anwenderspezifische Initialisierung. Kapitel II gibt Anweisungen, wie Sie durch entsprechende Vorbeugemaßnahmen Viren davon abhalten können, Ihr(e) Compuersystem(e) zu infizieren. Zudem erfahren Sie hier, wie Sie vorgehen, wenn Sie tatsächlich von einem Computervirus betroffen werden sollten. In Kapitel III wird sowohl Zweck als auch Arbeitsweise aller TBAV- Utilities beschrieben. Für alle diejenigen, die detailliertere Infor- mationen zum Thema haben wollen, sei auf das Kapitel IV 'Informationen für fortgeschrittene Anwender' verwiesen. Sie können das Handbuch als Referenz-Handbuch verwenden, da der aus- führliche Index sowie die Anhänge genauen Aufschluß über die Fehler- meldungen von TBAV geben. => Beachten Sie bitte, daß es unabdingbar ist, das Handbuch komplett zu lesen. Denn nur so werden Sie mit den vielen Facetten der ThunderBYTE Anti-Viren-Utilities vertraut, und wissen, welche Schritte Sie unter- nehmen können bzw. müssen, um einen angemessenen Schutz gegen Viren aufbauen zu können und außerdem voll vorbereitet zu sein für eine komplette Wiederherstellung im Falle eines Disasters. 2. Überblick über die TBAV-Utilities Was ist das Thunderbyte Anti-Viren-Paket? Das Thunderbyte Anti-Viren-Paket ist ein Programmwerkzeug, das entwickelt wurde, um sich vor Computer-Viren zu schützen und sie zu beseitigen. Wenngleich TBAV sehr stark darauf ausgerichtet ist, auf vielfältige Weise einer Vireninfektion vorzubeugen, wäre das Paket unvollständig, böte es nicht verschiedene Virenbeseitiger an, mit denen ein System gesäubert werden kann - für den sehr unwahrscheinlichen Fall, daß ein Virus die Schutzeinrichtungen umgeht. Das Paket besteht daher aus mehreren Pro- grammen, von denen Ihnen jedes einzelne dabei hilft, Viren von deren zerstörerischem Werk abzuhalten. Hier ein kurzer Überblick. 0 - 1 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0 Sammeln von Software-Informationen: TbSetup TbSetup ist ein Programm, das alle Informationen aus den anderen Pro- grammen ihres Systems sammelt. Diese Informationen werden in Dateien mit der Bezeichnung Anti-Vir.Dat gespeichert. Diese Informationen können dann zur Prüfung der Integrität oder Gültigkeit von Programmen eingesetzt werden, aber auch um infizierte Dateien von Viren zu reinigen. Ermöglicht die speicherresidenten TBAV-Utilities: TbDriver TbDriver selbst bietet keinen Schutz vor Viren, muß jedoch geladen werden, damit die anderen speicherresidenten Thunderbyte Anti-Viren- Utilities wie TbScanX, TbCheck, TbMem, TbFile und TbDisk korrekt ar- beiten können. Scannt nach Viren: TbScan TbScan is zweierlei: ein sehr schneller Signaturenscanner und ein soge- nannter heuristischer Scanner. Neben seiner immensen Geschwindigkeit bietet er eine Vielzahl von Konfigurations-Optionen. Er kann Viren- Mutanten entdecken, Tarnkappenviren (auch Stealthviren genannt) um- gehen, etc. Die von TbScan verwendete Siganturendatei ist eine codierte 'TbScan.Sig'-Datei, welche von Ihnen im Notfall selbst upgedated werden kann. TbScan ist in der Lage, Dateien zu disassemblieren. Dies ermög- licht es, verdächtige Instruktionssequenzen zu entdecken und damit auch noch nicht bekannte Viren aufzuspüren. Dank dieser umfassenden Suche, die als heuristische Analyse bezeichnet wird, ist es möglich, 90% aller Viren allein durch das Aufspüren verdächtiger Instruktionssequenzen ausfindig zu machen, ohne auch nur eine einzige Signatur zu verwenden. Zu diesem Zweck enthält TbScan einen echten Disassembler und Code-Ana- lysierer. Ein anderes Feature von TbScan ist die Integritätsprüfung, die durch- geführt wird, wenn TbScan die Anti-Vir.Dat-Dateien, die von TbSetup er- stellt wurden, findet. 'Integritätsprüfung' bedeutet, daß TbScan jede Datei, die er scannt, auch daraufhin überprüft, ob die Informationen, welche in der Anti-Vir.Dat-Datei verwaltet werden, mit der überprüften Datei übereinstimmen. Infiziert ein Virus eine Datei, können die gespei- cherten Informationen nicht mehr mit denen der veränderten Datei iden- tisch sein und TbScan wird Sie hierüber informieren. TbScan führt die Integritätsprüfung automatisch durch und hat dabei gegenüber anderen Integritätsprüfern, eine viel niedrigere Fehlalarm- quote. Das Ziel ist es, Viren zu entdecken - und nicht Konfigurations- änderungen! Automatisches Scannen: TbScanX TbScanX ist die speicherresidente Fassung von TbScan. Dieser Signaturen- scanner bleibt resident im Speicher und überprüft alle Dateien, die aus- geführt, kopiert, entarchiviert, von einer Mailbox geladen werden, usw. TbScanX prüft außergewöhnlich schnell und benötigt darüberhinaus kaum 0 - 2 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0 konventionellen Speicher. Bereits 1 KByte im hohen Speicherbereich ist ausreichend. Überprüfung beim Laden: TbCheck TbCheck prüft speicherresidente die Integrität von Dateien. Das Programm verbleibt resident im Speicher und prüft automatisch jede Datei, gerade bevor sie ausgeführt wird. TbCheck arbeitet bei der Integritätsprüfung mit einem sehr schnellen Verfahren und benötigt lediglich 400 Bytes Speicherplatz. Das Programm kann so konfiguriert werden, daß es Datei- en mit falscher Prüfsumme und/oder Dateien, die keinen entsprechenden Datensatz in der Datei Anti-Vir.Dat aufweisen, abweist. Wiederherstellen infizierter Bootsektoren, CMOS und Partitionstabellen: TbUtil Einige Viren kopieren sich selbst in die Partitionstabelle der Fest- platte. Im Gegensatz zu Bootsektor-Viren lassen sie sich nur schwer entfernen. Die einzige Lösung hierfür scheint eine Low-Level-Formatie- rung der Festplatte und ein Neuerstellen der Partitionstabelle zu sein. Im Vergleich zu solchen radikalen Maßnahmen bietet TbUtil eine weitaus angenehmere Alternative an. TbUtil legt ein Backup Ihrer nicht infizier- ten Partitionstabelle und Ihres Bootsektors an. Sollten diese in Ihrem System infiziert werden, kann das TbUtil-Backup zum Vergleich und zur Wiederherstellung der nicht infizierten Original-Partitionstabelle und des Bootsektors eingesetzt werden, ohne daß eine Formatierung der Fest- platte erforderlich wird. Das Programm kann auch die CMOS-Konfiguration wiederherstellen. Sollte kein Backup Ihrer Partitionstabelle zur Verfügung stehen, so ver- sucht TbUtil dennoch eine neue Partitionstabelle zu erstellen. Auch da- durch bleibt Ihnen ein Low-Level-Formatieren erspart. Eine weitere wichtige Fähigkeit von TbUtil ist es, daß mit seiner Hilfe der Code der Partitionstabelle durch einen neuen, virenprüfenden Code ersetzt werden kann. Der TbUtil-Partitions-Code wird ausgeführt, bevor der Bootsektor die Kontrolle erhält, um so den Bootsektor zu überprüfen, bevor Viren geladen sein können. Der TbUtil Partitions-Code führt eine CRC-Prüfsummenberechnung des Bootsektor durch, bevor dieser die Kon- trolle übergeben bekommt. Sollte sich der Bootsektor verändert haben, wird Sie der TbUtil-Partitions-Code darauf hinweisen. Der TbUtil- Partitions-Code überprüft auch die Menge des noch freien Speichers und zeigt Ihnen an, ob sie sich verändert hat oder nicht. Jedesmal, wenn Sie Ihren Computer von der Festplatte aus starten, werden all diese Kontrollen durchgeführt. Bedenken Sie, daß es äußerst schwierig ist, den Bootsektor zu überprüfen, nachdem er schon ungeprüft ausgeführt wurde. Während des Bootvorgangs könnte sich ein Virus speicherresident geladen haben, und sich daraufhin verstecken. Also: TbUtil gibt Ihnen eine sehr große Sicherheit, da es aktiv wird, BEVOR der Bootsektor aufgerufen wird. Bedenken Sie auch, daß TbUtil wesentlich komfortabler zu bedienen ist, als die herkömmliche Methode, von einer virenfreien DOS-Diskette aus zu booten, um eine un- beeinflußte Überprüfung des Bootsektors durchführen zu können. 0 - 3 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0 Rekonstruieren infizierter Dateien: TbClean TbClean ist ein Programm, um Dateien von Viren zu reinigen. Es benutzt die von TbSetup erstellten Anti-Vir.Dat-Dateien, um die Virenbeseitigung in den Dateien effektiver zu machen und/oder das Resultat zu überprüfen. TbClean kann jedoch auch ohne diese Dateien arbeiten. Dabei disassem- bliert und emuliert es die infizierte Datei und rekonstruiert mit Hilfe dieser Analyse die Originaldatei. Residenter Wächter: TbMon TbMon ist ein Set aus speicherresidenten Anti-Viren-Programmen, beste- hend aus TbMem, TbFile und TbDisk. Die meisten anderen residenten Anti- Viren-Produkte bieten Ihnen die Wahl, sie aufzurufen, bevor ein Netzwerk gestartet wurde mit dem Effekt, den Schutz im Netz nach der Logon- Prozedur zu verlieren oder die Anti-Viren-Software NACH dem einloggen ins Netz zu starten, was ein teilweise ungeschütztes System zur Folge hat. Die TBAV-Utilities hingegen erkennen Netzwerk-Software und führen die notwendigen Maßnahmen durch, um deren Funktionalität zu sichern. Speicherkontrolle: TbMem TbMem entdeckt die Versuche von Programmen speicherresident geladen zu werden und verhindert, daß ein Programme ohne Erlaubnis resident geladen wird. Da es sich bei den meisten Viren um speicherresidente Programme handelt, ist diese Methode eine wirkungsvolle Waffe gegen diese Viren, unabhängig davon, ob sie bekannt oder unbekannt sind. Die Erlaubnis, speicherresident zu werden, wird in der Datei Anti-Vir.Dat gespeichert. Infizierungen verhindern: TbFile TbFile entdeckt die Versuche von Programmen, andere Programme zu infi- zieren. TbFile schützt darüberhinaus Read-Only-Attribute und entdeckt fehlerhafte Zeitangaben von Dateien usw. Es stellt sicher, daß kein Virus erfolgreich ein Programm infizieren kann. Schutz der Laufwerke: TbDisk TbDisk entdeckt die Versuche von Programmen, direkt schreibend auf Lauf- werke zugreifen zu wollen (ohne die Verwendung von DOS-Funktionen), direkte Aufrufe von ROM-BIOS-Funktionen sowie Formatierungsversuche usw., und stellt damit sicher, daß keine heimtückischen Programme Erfolg mit der Zerstörung Ihrer Daten haben. Informationen über die wenigen Pro- gramme, die die Disketten direkt beschreiben und/oder formatieren dürfen, befinden sich in den Anti-Vir.Dat-Dateien. Definieren Sie Ihre eigenen Signaturen (im Notfall): TbGensig Da die TBAV-Programme bei ihrem Vertrieb mit ihrer direkt verwendbaren Signaturen-Datei auf dem neueste Stand sind, brauchen Sie dieses Pro- gramm eigentlich gar nicht. Wenn Sie allerdings Ihre eigenen Viren- 0 - 4 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0 Signaturen erstellen möchten, brauchen Sie TbGenSig. Sie können hierzu veröffentlichte Signaturen verwenden oder Sie definieren eigene, wenn Sie mit der Struktur solcher Software genügend vertraut sind. Entfernen infizierter Dateien: TbDel Wenn Sie eine Datei mittels DOS-Befehl 'DEL' löschen, geht nicht der Inhalt der Datei verloren, nur der Name der Datei wird im Verzeichnis als gelöscht markiert. Daher ist es möglich, die gelöschte Datei wie- derherzustellen. TbDel ist ein kleines Programm, das nur einen einzigen aber sehr wichtigen Zweck hat: es ersetzt jedes einzelne Byte in einer Datei durch Nullen bevor es die Datei löscht. Damit ist es unmöglich, das Programm jemals wiederherzustellen. Ein effektiver Stack-Manager: StackMan Um Probleme mit speicherresidenter Software ('TSR-Programme)'zu ver- meiden, kann DOS einen Vorrat an Stapelspeichern bereitstellen, um einen davon zu verwenden, wenn ein Hardware-Interrupt ausgelöst wird. Mit der Angabe von Stacks in der Datei config.sys können Anzahl und Größe dieser Stacks kontrolliert werden. Die DOS-Stacks haben jedoch einige Nachteile. StackMan besitzt die gleiche Funktionalität wie der DOS-Befehl "stacks", bietet aber außerdem einige Vorzüge. 0 - 5 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I KAPITEL I. INSTALLATION VON TBAV 1. TBAV installieren System-Voraussetzungen Die ThunderBYTE Anti-Viren-Utilities arbeiten auf jedem IBM-kompatiblen PC mit mindestens 1 MB freiem Festplattenspeicher. Die TBAV-Utilities benötigen 256 KB freien Arbeitsspeicher und DOS 3.0. Empfohlen wird allerdings DOS 5.0 oder eine höhere Version. Die TBAV-Utilities sind kompatibel mit Netzwerken, Windows, DR-DOS, etc. 1.1 Erstinstallation Sie können die TBAV-Utilities installieren, indem Sie die Installa- tionsroutine verwenden (welche im folgenden beschrieben wird) oder durch eine voll anwenderbezogene Installation (welche in den Kapi- teln I - 3 und II erklärt ist). Legen Sie die TBAV-Installationsdiskette in das Disketten-Laufwerk. Geben Sie ein: A: or B: Geben Sie ein: install C:\TBAV <Enter> +---------------------------------------+ | F1 Erst-Installation | | F2 Update-Installation | | F3 Über.... | | F4 Exit.... | +---------------------------------------+ Sollten Sie das TBAV-Paket zum ersten mal installiern, wählen Sie die erste Option, indem Sie <Enter> oder <F1> drücken. - [Bitte wählen Sie das Laufwerk, in das TBAV installiert werden soll:]- Sie benötigen mind. 1024 KB freien Speicher, um TBAV zu installieren ! C: 3581952 D: 21291008 Wechseln Sie auf das Laufwerk, auf das die TBAV-Utilities installiert werden sollen. Die TBAV-Installation zeigt Ihnen den freien Speicher- platz jedes verfügbaren Laufwerks an. I - 1 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Als nächstes werden Sie aufgefordert, das Verzeichnis anzugeben, in das TBAV installiert werden soll. Voreingestellt ist das Verzeichnis \TBAV: -----[ Bitte wählen Sie das Zielverzeichnis für TBAV: ]----- [C:\TBAV ] Existiert das angegebene Verzeichnis nicht, wird es vom Installations- Program erstellt. Danach werden die TBAV-Dateien auf Ihre Festplatte kopiert. +-----------------------------------------------------------+ | Die Dokumentation für TBAV ist komprimiert in einer Datei.| | Die Dokumentations-Datei wird jetzt entpackt. | | Wenn bereit, beliebige Taste drücken.... | | | | | | Inflating: c:/tbav/TBSCAN.DOC -AV | | Inflating: c:/tbav/TBSCANX.DOC -AV | | Inflating: c:/tbav/TBCLEAN.DOC -AV | +-----------------------------------------------------------+ Die gepackten Dateien werden auf Ihre Festplatte kopiert und entpackt. Nachdem alle Dateien kopiert wurden, startet TbSetup und erstellt die Anti-Vir.Dat-Datei für das TBAV-Verzeichnis. +-----------------------------------------------------------+ | TbSetup erstellt oder aktualisert jetzt die Anti-Vir.Dat- | | Datei für das Verzeichnis C:\TBAV | | Wenn bereit, beliebige Taste drücken.... | +-----------------------------------------------------------+ Die ThunderBYTE Anti-Viren-Utilities werden ins Zielverzeichnis kopiert. Das Installations-Program hilft Ihnen, die Utilities auf standardiserte Weise einzurichten. Nachdem Sie das Handbuch gründlich gelesen haben, können Sie das Programm-Paket so konfigurieren, wie es Ihren persön- lichen Erfordernissen und Vorstellungen am besten entspricht. +-----------------------------------------------------------+ | Dieses Installationsprogram hilft Ihnen, die Utilities in | | standardisierter Form einzurichten. | | Wollen Sie fortfahren ? (Y/N) | +-----------------------------------------------------------+ Falls Sie 'N' eingeben, fragt Sie das Installationsprogramm weder ob die speicherresidenten TBAV-Utilities in die Autoexec.Bat aufgenommen werden sollen, noch ob die die Anti-Vir.Dat-Dateien erzeugt werden sollen. Falls Sie mit 'Y' antworten, wird zunächst ein Backup Ihrer Original-Autoexec.Bat angelegt und der Aufruf der TbStart.Bat in die Autoexec.Bat eingefügt. Um die TBAV-Utilities jederzeit problemlos aufrufen zu können, ist es empfehlenswert, Sie in die Umgebungsvariable PATH aufzunehmen. Ihre Autoexec.Bat sieht jetzt etwa so aus: I - 2 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I @ECHO OFF PATH C:\TBAV call C:\TBAV\tbstart.bat Nachfolgend wird TbSetup das angegebene Laufwerk bearbeiten, um die Anti-Vir.Dat-Dateien zu erzeugen. Gegebenenfalls müssen Sie diesen Vor- gang für andere Laufwerke wiederholen. Schlagen Sie hierzu im entspre- chenden Kapitel nach. Das TBAV-Paket enthält einige Utilities, die im Speicher Ihres PCs in- stalliert werden können. Für jedes dieser Utilities müssen Sie einzeln angeben, ob es in die TbStart.Bat eingefügt werden soll. TBSCANX ist ein speicherresidenter Viren-Scanner. Wollen Sie ihn installieren ? (Y/N) TBCHECK ist ein speicherresidenter Integritätsprüfer. Wollen Sie ihn installieren ? (Y/N) TBMEM ist ein residenter Speicherwächter. Wollen Sie ihn installieren ? (Y/N) TBFILE ist ein residenter Dateiwächter. Wollen Sie ihn installieren ? (Y/N) Wenn Sie die nachfolgende Frage mit 'Y' beantworten, durchsucht TBAV Ihr System automatisch einmal täglich nach Viren. Wollen Sie, daß Ihr System automatisch einmal pro Tag nach Viren durchsucht wird ? (Y/N) Das Installationsprogramm schreibt die angegebenen Konfigurationswerte in die 'TbStart.Bat'-Datei, welche sich in dem Verzeichnis befindet, welches Sie zuvor als Installationsverzeichnis für die TBAV-Utilities angegeben haben, z.B.: C:\TBAV\tbdriver C:\TBAV\tbscanx C:\TBAV\tbcheck C:\TBAV\tbmem C:\TBAV\tbfile C:\TBAV\tbscan once C:\ Zuletzt können Sie die TBAV-Utilities anweisen, Ihre Festplatte sofort zu scannen. Es ist sehr wahrscheinlich, daß einige der TBAV-Utilities Meldungen an- zeigen werden, nachdem Sie Ihr System neu gestartet haben und Ihren Computer in gewohnter Weise benutzen wollen. Einige Programme führen Operationen aus, die von den TBAV-Utilities beobachtet werden. Daher müssen die TBAV-Utilities erst 'lernen', welche Programme eine spe- I - 3 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I zielle Erlaubnis erhalten sollen. Starten Sie einige Ihrer am häufig- sten eingesetzten Programme und beantworten Sie jede entsprechende Mel- dung mit 'Y' oder 'N' - je nachdem ob Sie das Programm zulassen wollen oder nicht. TBAV wird sich dies merken und Sie nicht erneut mit einer unnötigen Meldung nerven. Starten Sie Ihren Computer nach diesem Test- lauf erneut. Die TBAV-Utilities sind jetzt bereit, Ihr System zu überwachen und bei Auftreten verdächtiger Aktionen - oder Schlimmerem - sofort eine War- nung auszugeben. Sie werden Sie auch warnen, falls irgendeine neue Da- tei einen Virus enthalten sollte - natürlich bevor dieser Schaden an- richten kann. 1.2 Windows Die Thunderbyte Anti-Viren-Utilities sind kompatibel zu Microsoft- Windows. In jedem DOS-Fenster bleiben die Utilities aktiv, ohne dabei die Ausführung in anderen Fenstern zu beeinflussen. Alle TBAV-Utilities können ebenso aus einer graphischen Darstellung der DOS-Fenster von Windows verwendet werden. Was Sie im TBAV-Paket nicht finden werden, sind der Mode folgende Windows-Programme. Für diese Einschränkung gibt es mehrere Gründe. Ein Windows-Scanner bietet niemals zusätzliche Funktionalität. Statt dessen benötigt ein Windows-Scanner mehr Speicherplatz, ist größer und langsamer und arbeitet weniger zuverlässig. Der einzige Vorteil bestünde in einer hübscheren Bildschirmgestaltung. Sollte die Bild- schirmgestaltung Ihr Hauptanliegen sein, ist TBAV kein Anti-Viren- Programm für Sie! Sollte eine der Windows-Dateien infiziert sein, wird Windows mit großer Wahrscheinlichkeit die Arbeit verweigern und den Computer abstürzen las- sen. Gerade in diesem Fall benötigen Sie einen Scanner, um herauszufin- den, was passiert ist, doch einen Windows-Scanner können Sie nun nicht mehr benutzen. Um das Problem versteckter Viren zu meistern, müssen Sie vor dem Scan- vorgang von einer virenfreien DOS-Diskette aus booten. Haben Sie schon jemals Windows 3.1 von einer Diskette aus gebootet? TBAV bietet eine durchdachte Windows-Unterstützung, aber keinen Unsinn. TBAV-Menü und Befehlssyntax Sie können die meisten der TBAV-Utilities vom Menü aus starten, nach- dem Sie dieses auf folgende Weise geladen haben: cd\tbav tbav Um die Utilities automatisch ausführen zu lassen, müssen alle TBAV- Treiber und Utilities vom DOS-Pprompt ausgeführt werden. In einem systemnahen Setup sollten die Treiber jedoch in der Config.Sys mit der 'device=' oder 'install='-Angabe installiert und aktiviert werden I - 4 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I oder als TSR-Programme in der TbStart.Bat. Ähnlich können auch die meisten der Utilities automatisch von der TbSatrt.Bat aus gestartet werden - im Fall von TbScan auf einmal pro Tag beschränkt. Die zwei Ausnahmen bilden TbClean und TbDel. Sie sollten nur von der DOS-Ebene und (TbClean) vom TBAV-Menü aus gestartet werden. Zu allen Thunderbyte Anti-Viren-Programmen können beim Programmaufruf in der Befehlszeile Optionen und Parameter angegeben werden, um besondere Fähigkeiten des betreffenden Programms zu steuern. Diese können ausge- schrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die Op- tionen besser zu merken, weshalb sie bei den Beispielen in diesem Hand- buch auch in der nicht-abgekürzten Form verwendet werden. Die einzelnen Optionen müssen durch Leerstellen voneinander getrennt werden. Spezielle Vorzeichen sind nicht erforderlich - wenn Sie wollen können Sie die je- doch den normalen Schrägstrich oder den Bindestrich voranstellen. Die Standard-Befehlszeilen-Syntax für alle TBAV-Befehle ist: Befehl [<Pfad>] [<Dateiname>] [<Option>] ... [<Unter-Option>] ... Sie können sich für jeden Befehl einen Überblick über die korrekte Syn- tax und eine komplette Optionen-Liste anzeigen lassen, indem Sie den entsprechenden Befehl gefolgt von dem Wort 'help' oder einem Fragezei- chen, wie z.B.: tbcheck ? Dieselbe Online-Hilfe wird immer ausgegeben, wenn ein Befehl mit einer ungültigen Option aufgerufen wird. Die Beispiele in diesem Handbuch gehen grundsätzlich davon aus, daß alle Utilities im Standardverzeichnis \TBAV installiert wurden. Erstellen Sie eine Rettungsdiskette! Wir raten Ihnen dringend, eine Rettungsdiskette anzulegen. Die Beispiel- Setups gehen davon aus, daß Sie eine solche Rettungsdiskette angelegt haben (siehe Anleitung in Kapitel II). I - 5 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I 2. Konfiguration Die Wahl die Sie bei der Installation der TBAV-Utilities getroffen haben, sollte möglicherweise etwas verfeinert werden - beispielsweise durch Anfügen von Optionen an den Programm-Aufruf. Sie können dies durch Editieren der Datei TBSTART.BAT erreichen, welche automatisch die speicherresidenten Utilities lädt. => Falls zulässig, können Sie die relevanten Befehle stattdessen in die Config.Sys eintragen. Vergessen Sie dort aber nicht, die Dateinamens- erweiterung .EXE anzugeben! Unten finden Sie einige Hinweise, wie Sie die Standardeinstellungen Ihren eigenen Bedürfnissen gemäß verändern können. Wenn Sie Ihr System hiernach erneut starten, benötigt TBAV Ihre Unterstützung in dieser ersten 'Lern'-Phase. TBAV Menü-Konfiguration Das TBAV-Menü gestattet ebenfalls einige Einstellungen. +----Main menu-----+ | Confi+----------TBAV configuration----------+ | TbSet|v Use colors | | TbSca| Save configuration to TBAV.INI | | TbUti| File view utility | | TbCLe|v Wait after program execution | | TBAV | Display cmd line before executing | | Docum|v Edit command line before executing | | Quit +--------------------------------------+ | eXit (no save) | +------------------+ Sie können eine Option aktivieren, indem Sie den Cursorbalken auf die entsprechende Zeile bewegen und Ihre wahl mit <Enter> bestätigen. Use colors Wenn deaktiviert, verwendet TBAV den Monochrome-Modus für die Bild- schirmanzeige, was für den Einsatz auf Laptops angemessen ist. Save configuration to TBAV.INI Alle Konfiguration-Werte, die innerhalb des TBAV-Menüs gesetzt werden, werden in der Datei TBAV.INI gespeichert, nachdem Sie diese Option ge- wählt haben. Wenn Sie die TBAV-Utilities das nächstemal laden, gelten die in der aktuellen TBAV.INI.Datei gespeicherten Werte. Sie werden verwendet für das TBAV-Menü selbst und für die Utilities TbSetup, TbScan und TbClean. Obwohl Sie die TBAV.INI-Datei manuell editieren können, empfehlen wir Ihnen, diese über das TBAV-Menü erstellen zu lassen. In der Voreinstellung ist der Inhalt der TBAV.INI nur gültig während I - 6 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Sie das TBAV-Menüsystem verwenden. Sie können jedoch die Option "Use TBAV.INI file" für jedes der oben genannten Utilities aktivieren (oder durch Spezifizieren des 'UseIni'-Schalters in der TBAV.INI-Datei selbst). In diesem Fall sind die in dieser Datei gespeicherten Ein- stellungen für TbSetup, TbScan oder TbClean auch dann gültig, wenn sie von der DOS-Befehlszeile aus gestartet werden. Gehen Sie mit dieser Einstellung vorsichtig um, da Optionen die in der TBAV.INI aktiviert sind, in der Befehlszeile nicht außer Kraft gesetzt werden können. TBAV erzeugt die Datei TBAV.INI wenn Sie diese Option erstmals aktivieren. In dieser Datei sind alle gültigen Schalter aufgelistet. Die deakti- vierten Schalter werden von einem Semikolon angeführt. File view utility TbSetup und TbScan erzeugen eine Datendatei bzw. eine Protokolldatei. Standardmäßig können Sie diese Dateien vom TBAV-Menü aus mit dem inter- nen Dateibetrachter ansehen. Wenn Sie diese Option wählen, können Sie stattdessen Ihren bevorzugten Dateibetrachter angeben. Geben Sie hier den vollständigen Pfad und den Dateinamen (inkl. Extension) an. Wait after program execution Wird diese Option aktiviert, zeigt TBAV nachdem ein externes Utility ausgeführt worden ist, die Meldung: "Mit beliebiger Taste zurück ins TBAV-Menü". Display command line before executing Durch Aktivieren dieser Option wird TBAV veranlaßt, den DOS-Befehl, mit dem das externe Utility geladen wird, anzuzeigen. Diese Option kommt dan zur Anwendung, wenn Sie sehen wollen, welche(n) Befehl(e) Sie zuvor angegeben haben. Durch Betätigen der <Enter>-Taste wird der bzw. die DOS-Befehl(e) ausgeführt. Edit command line before executing Wenn aktiviert, können Sie den DOS-Befehl, der das externe Utility lädt, ändern. I - 7 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I 3. TbSetup 3.1. Der Zweck von TbSetup TbSetup ist ein Programm, das die wesentlichen Informationen jedes Pro- gramms in Dateien mit der Bezeichnung Anti-Vir.Dat speichert. In jedem Verzeichnis, in dem Programmdateien enthalten sind, kann es eine Anti- Vir.Dat-Datei geben. Obwohl die Thunderbyte-Utilities ohne die Anti-Vir.Dat-Dateien sehr gut arbeiten, raten wir Ihnen dringend, die Anti-Vir.Dat-Dateien von TbSetup erstellen zu lassen. Die Anti-Vir.Dat-Dateien können für mehrere Aufgaben verwendet werden: Integritätsprüfung. Findet TbScan eine Anti-Vir.Dat-Datei, so führt das Programm während des Scanvorgangs eine Integritätsprüfung durch. Sobald eine Datei von einem Virus befallen wurde, entspricht die Information der Anti-Vir.Dat-Datei nicht mehr dem aktuellen Datei- inhalt. Über diese Dateiveränderung informiert Sie TbScan. TbSetup erkennt die Dateien, die eine besondere Behandlung benö- tigen. Dazu zählt z. B. eine Abbilddatei einer Netzwerkbootdiskette. Eine solche Datei, die das "Abbild" einer kompletten Diskette dar- stellt, sollte vollständig und auf alle Viren gescannt werden. TbSetup fügt in die Anti-Vir.Dat-Datei eine Markierung ein, um sicherzustellen, daß TbScan die gesamte Datei auf alle Viren prüft. Über weitere Dateien, die ebenfalls eine besondere Behandlung benö- tigen, können Sie sich in einem späteren Kapitel dieser Dokumenta- tion informieren. Sobald eine Datei infiziert ist, kann TbClean die Originaldatei wiederherstellen. Die Informationen der Anti-Vir.Dat-Datei sind TbClean dabei äußerst hilfreich. Manche der infizierten Programme können nur dann rekonstruiert werden, wenn in der Anti-Vir.Dat-Datei Informationen über das entsprechende Programm vorliegen. TbCheck (ein kleines speicherresidentes Programm zur Integritäts- prüfung) kann nur dann seine Funktion erfüllen, wenn die entsprechen- den Anti-Vir.Dat-Dateien auf Ihrem Rechner angelegt wurden. Die speicherresidenten TBAV-Utilities benötigen die Anti-Vir.Dat- Dateien, um die Zugriffsinformationen zu verwalten. Ohne diese Anti- Vir.Dat-Dateien können Sie falsche Alarme nicht verhindern, es sei denn, Sie setzen ganze Bestandteile der TBAV-Utilities außer Betrieb. 3.2. Benutzung von TbSetup Dies ist das einzige Programm, auf das die Regel zutrifft: Je seltener Sie es einsetzen, um so besser ist der Virenschutz. Sobald die Anti- Vir.Dat-Dateien erstellt worden sind, sollten Sie TbSetup nur noch dann starten, wenn Sie in Ihrem System Programmdateien verändert bzw. hinzu- I - 8 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I gefügt haben. In diesem Fall sollten Sie TbSetup nur in dem Verzeichnis starten, in dem sich die neuen bzw. veränderten Dateien befinden. Mit der Option 'newonly' können Sie verhindern, daß bereits existierende Informationen überschrieben werden. Die von TbSetup erstellten Anti-Vir.Dat-Dateien werden bei der normalen Dateiauflistung nicht angezeigt. Diese Dateien können Sie nur mit Hilfe spezieller Utilities sichtbar machen. Sie können TbSetup von der DOS-Befehlszeile oder vom TBAV-Menü aus laden. Laufwerk und Pfad geben TbSetup an, wo es seinen Setup- vorgang durchführen soll. Wollen Sie die Laufwerke C: und D: bear- beiten, dann geben Sie ein: TbSetup C:\ D:\ Wenn Sie anstelle der Dateinamen ein Laufwerk und/oder einen Pfad ange- ben, wird der angegebene Pfad als übergeordneter Pfad verstanden. Alle seine Unterverzeichnisse werden miteinbezogen. Wird dagegen ein Datei- name angegeben, arbeitet das Programm nur im angegebenen Pfad und nicht in den Unterverzeichnissen. Platzhalter (Wildcards) in Dateinamen sind erlaubt. Nachdem Sie TbSetup auf Ihrem gesamten System angewendet haben, benö- tigen Sie das Programm erst dann wieder, wenn Sie Programmdateien verändert oder neu installiert haben. In diesem Fall raten wir Ihnen dringend, TbSetup nur in dem Verzeichnis zu starten, in dem sich die veränderten bzw. neu installierten Dateien befinden. Beispiel: Sie fügen im Verzeichnis C:\FOO eine neue Datei mit Namen TEST.EXE hinzu. TbSetup C:\FOO\TEST.EXE Beispiel: Sie installieren in einem neuen Verzeichnis C:\NEU ein neues Programm. TbSetup C:\NEU TbScan teilt Ihnen mit, wenn Sie TbSetup noch einmal starten sollen: Das Programm wird Ihnen entweder ein kleines 'c' (Hinweis auf eine neue Datei) oder ein großes 'C' (Hinweis auf eine veränderte Datei) nach dem jeweiligen Dateinamen anzeigen. Wenn Sie das Programm von der DOS-Ebene aus starten, können Sie eine Reihe von Startoptionen verwenden. Diese Optionen finden Sie in Ab- schnitt 3.3. dieses Kapitels. I - 9 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Das 'TbSetup'-Menü +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start TbSetup | | TbSca| Files/Paths to setup | | TbUti| Options menu >| | TbCLe| Flags menu >| | TBAV | Data file path/name | | Docum| View data file | | Quit +------------------------+ | eXit (no save) | +------------------+ Data file path/name Normalerweise sucht TbSetup in einer Datei mit dem Dateinamen TbSetup.Dat nach Angaben zu "besonderen" Dateien. Mit der Option 'datfile' können Sie einen Pfad- oder Dateinamen einer anderen Datei angeben, die eine Liste aller "besonderen" Dateien enthält. Schreib- weise der Option: Datfile [=<Dateiname>] Beispiel: TbSetup Datfile = c:\tbav\tbsetup.dat +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start+-------TbSetup options-------+ | TbSca| Files| Use TBAV.INI file | | TbUti| Optio| Prompt for pause | | TbCLe| Flags| Only new files | | TBAV | Data | Remove Anti-Vir.Dat files | | Docum| View | Do not change anything | | Quit +-------|v Hide Anti-Vir.Dat files | | eXit (no save| Make executables readonly | +---------------| Clear readonly attributes | |v Sub-Directory scan | +-----------------------------+ Use TBAV.INI file Wenn Sie diese Option auswählen, ist die Konfiguration von TbSetup, so wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS- Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2 ('Konfiguration'). I - 10 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Prompt for pause Mit der Option 'pause' hält TbSetup die Ausgabe in ein Fenster an, so- bald dieses voll ist. Der Anwender erhält dadurch die Gelegenheit, die Ergebnisse zu überprüfen, bevor durch Tastendruck die Arbeit fortgesetzt wird. Only new files Wenn Sie dem Datenbestand der Anti-Vir.Dat neue Dateien hinzufügen, die Informationen von veränderten Dateien aber nicht aktualisieren wol- len, können Sie die Option 'newonly' benutzen. Es ist gefährlich, Infor- mationen veränderter Dateien zu aktualisieren, denn sollten diese be- reits infiziert sein, so werden bei dem Vorgang die Informationen, mit denen Sie den Virus aufspüren und beseitigen können, endgültig über- schrieben. Durch die Option 'newonly' können die bestehenden Informatio- nen nicht überschrieben, neue dem Datenbestand aber hinzugefügt werden. Remove Anti-Vir.Dat files Wenn Sie nicht mehr länger mit den Thunderbyte-Utilities arbeiten wollen, müssen Sie nicht jede einzelne Anti-Vir.Dat-Datei löschen. Mit der Option 'remove' löscht TbSetup zuverlässig alle Anti-Vir.Dat-Dateien in den an- gegebenen Verzeichnissen oder Laufwerken für Sie. Do not change anything Wenn Sie ausprobieren wollen, was welche Option bewirkt, ohne das Risiko eingehen zu wollen, daß etwas verändert wird, dann hilft Ihnen die Option 'test' weiter. Mit dieser Option läuft das Programm wie gewohnt ab, ver- ändert oder aktualisiert jedoch nichts auf Ihrer Festplatte. Hide Anti-Vir.Dat files Gewöhnlich werden die Anti-Vir.Dat-Dateien nicht angezeigt. Deaktivieren Sie diese Option, wenn Sie normale Dateien, d.h. anzeigbare, bevorzugen. => Diese Option wirkt sich nur auf neue Anti-Vir.Dat-Dateien aus. Make executables read-only Da TbFile die Read-Only-Attribute ständig überwacht, ist es sehr zu empfehlen, alle ausführbaren Dateien mit diesem Attribut zu versehen. So schützen Sie Ihre Dateien vor allen Veränderungen. Mit 'read-only' setzt TbSetup das Read-Only-Attribut der bearbeiteten ausführbaren Dateien. Dabei erkennt TbSetup Dateien, die nicht mit dem Read-Only- Attribut versehen werden dürfen. I - 11 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Clear read-only attributes Mit dieser Option können Sie die Auswirkungen der Option 'read-only' rückgängig machen. Aktivieren Sie diese Option, werden die Read-Only- Attribute aller ausführbaren Dateien entfernt. Sub-Directory scan Normalerweise sucht TbSetup auch in Unterverzeichnissen nach ausführba- ren Dateien, außer es wird ein Dateiname (Platzhalter sind zulässig) an- gegeben. Deaktivieren Sie diese Option, werden Unterverzeichnisse von TbSetup nicht durchsucht. +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start+-----TbSetup flags------+ | TbSca| Files|v Use normal flags | | TbUti| Optio| Set flags manually | | TbCLe| Flags| Reset flags manually | | TBAV | Data | Define flags >| | Docum| View +------------------------+ | Quit +------------------------+ | eXit (no save) | +------------------+ Set flags manually Diese Option ist nur für fortgeschrittenen Anwendern gedacht. Mit 'set' plazieren Sie nämlich Flags, also Markierungen für bestimmte Eigen- schaften, im Anti-Vir.Dat-Datenbestand von Hand. Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um In- formationen über die verwendeten Bit-Masken zu erhalten, sehen Sie sich bitte die Datei TbSetup.Dat an. Schreibweise der Option: Set = <Flags> Beispiel: Set = 0001 Reset flags manually Rufen Sie diese Option nur dann auf, wenn Sie zu den fortgeschrittenen Anwendern zählen. Mit 'reset' können Sie von Hand Flags entfernen oder verhindern, daß Flags im Anti-Vir.Dat-Datenbestand gesetzt werden können. Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um Informationen über die verwendeten Bit-Masken zu erhalten, können Sie sich die Datei TbSetup.Dat anschauen. Schreibweise der Option: Reset = <Flags> Beispiel: Reset = 0001 I - 12 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start+-----TbSetup flags------+ | TbSca| Files|v Use n+--Define flags to be changed--+ | TbUti| Optio| Set f| 0001: Heuristic analysis | | TbCLe| Flags| Reset| 0002: Checksum changes | | TBAV | Data | Defin| 0004: Disk image File | | Docum| View +-------| 0008: Readonly sensitive | | Quit +---------------| 0010: TSR program | | eXit (no save) | | 0020: Direct disk access | +------------------+ | 0040: Attribute modifier | | 8000: Interrupt rehook | +------------------------------+ 3.3. Startoptionen Beim Aufruf von TbSetup können Optionen angegeben werden. Diese können ausgeschrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die Optionen besser zu merken, weshalb sie in diesem Handbuch auch in dieser Form verwendet werden. Option Parameter Abk. Erklärung ------ --------- ---- --------------------------------------------- help he Hilfe (-? =Kurzhilfe) pause pa Pausen einschalten mono mo Farbverwendung abschalten nosub ns Unterverzeichnisse übergehen newonly no Veränderte Datensätze nicht aktualisieren remove rm Anti-Vir.Dat-Dateien löschen test te Keine Auswirkungen oder Veränderungen nohidden nh Neue Anti-Vir.Dat-Dateien sind sichtbar readonly ro Setzt ausführbaren Dateien Read-Only-Attribut nordonly nr Entfernt oder setzt kein Read-Only-Attribut set =<Flags> se Setzt Flags reset =<Flags> re Setzt Flags zurück bzw. setzt keine Flags datfile [=<Datei>] df Zu verwendende Daten-Datei help (he) Mit Hilfe dieser Option veranlassen Sie TbSetup, den Inhalt der Datei TBSETUP.HLP anzuzeigen, sofern sich diese im gleichen Verzeichnis wie TbSetup befindet. Mit der Option '?' erhalten Sie eine Kurzhilfe in Listenform, wie oben aufgeführt. I - 13 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I mono (mo) Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb- emulierenden schwarzweiß-Systemen verbessert werden. nosub (ns) Normalerweise sucht TbSetup auch in Unterverzeichnissen nach ausführba- ren Dateien, außer es wird ein Dateiname (Platzhalter sind zulässig) an- gegeben. Deaktivieren Sie diese Option, werden Unterverzeichnisse von TbSetup nicht durchsucht. newonly (no) Wenn Sie dem Datenbestand der Anti-Vir.Dat neue Dateien hinzufügen, die Informationen von veränderten Dateien aber nicht aktualisieren wol- len, können Sie die Option 'newonly' benutzen. Es ist gefährlich, Infor- mationen veränderter Dateien zu aktualisieren, denn sollten diese be- reits infiziert sein, so werden bei dem Vorgang die Informationen, mit denen Sie den Virus aufspüren und beseitigen können, endgültig über- schrieben. Durch die Option 'newonly' können die bestehenden Informatio- nen nicht überschrieben, neue dem Datenbestand aber hinzugefügt werden. remove (rm) Wenn Sie nicht länger mit den Thunderbyte-Utilities arbeiten wollen, müssen Sie nicht jede einzelne Anti-Vir.Dat-Datei löschen. Mit der Option 'remove' löscht TbSetup zuverlässig alle Anti-Vir.Dat-Dateien in den an- gegebenen Verzeichnissen oder Laufwerken für Sie. test (te) Wenn Sie ausprobieren wollen, was welche Option bewirkt, ohne das Risiko eingehen zu wollen, daß etwas verändert wird, dann hilft Ihnen die Option 'test' weiter. Mit dieser Option läuft das Programm wie gewohnt ab, ver- ändert oder aktualisiert jedoch nichts auf Ihrer Festplatte. nohidden (nh) Gewöhnlich werden die Anti-Vir.Dat-Dateien nicht angezeigt. Deaktivieren Sie diese Option, wenn Sie normale Dateien, d.h. anzeigbare, bevorzugen. => Diese Option wirkt sich nur auf neue Anti-Vir.Dat-Dateien aus. readonly (ro) Da TbFile die Read-Only-Attribute ständig überwacht, ist es sehr zu empfehlen, alle ausführbaren Dateien mit diesem Attribut zu versehen. So schützen Sie Ihre Dateien vor allen Veränderungen. Mit 'read-only' setzt TbSetup das Read-Only-Attribut der bearbeiteten ausführbaren Dateien. Dabei erkennt TbSetup Dateien, die nicht mit dem Read-Only- Attribut versehen werden dürfen. nordonly (nr) Mit dieser Option können Sie die Auswirkungen der Option 'read-only' rückgängig machen. Aktivieren Sie diese Option, werden die Read-Only- Attribute aller ausführbaren Dateien entfernt. set (se) Diese Option ist nur für fortgeschrittene Anwendern gedacht. Mit 'set' plazieren Sie nämlich Flags, also Markierungen für bestimmte Eigen- I - 14 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I schaften, im Anti-Vir.Dat-Datenbestand von Hand. Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um In- formationen über die verwendeten Bit-Masken zu erhalten, sehen Sie sich bitte die Datei TbSetup.Dat an. Schreibweise der Option: Set = <Flags> Beispiel: Set = 0001 reset (re) Rufen Sie diese Option nur dann auf, wenn Sie zu den fortgeschrittenen Anwendern zählen. Mit 'reset' können Sie von Hand Flags entfernen oder verhindern, daß Flags im Anti-Vir.Dat-Datenbestand gesetzt werden können. Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um Informationen über die verwendeten Bit-Masken zu erhalten, können Sie sich die Datei TbSetup.Dat anschauen. Schreibweise der Option: Reset = <Flags> Beispiel: Reset = 0001 datfile (df) Hinter der 'datfile'-Option können Sie den Namen der Datendatei, die verwendet werden soll, angeben. 3.4. Programmablauf TbSetup unterteilt den Bildschirm in drei Fenster: ein Fenster für die Informationen, eines für den Scanvorgang und eines für den Status. Im obersten, dem Informations-Fenster, werden zunächst die Hinweise der Daten-Dateien angezeigt. Im linken unteren Fenster werden Sie auf gerade bearbeitete Dateien und dateispezifische Informationen aufmerksam gemacht. Beispiel: TEST.EXE 01234 12AB23CD Added * 0001 | | | | | | | | | | | | | | | | | Für Datei gesetzte 'Flags' | | | | Bedeutet 'spezielle' Datei | | | Durchgeführte Aktion | | 32-Bit CRC (Prüfsumme) | Dateigröße (hexadezimal) Dateiname Keine Sorge! Sie müssen die angezeigten Informationen nicht unbedingt verstehen. Wahrscheinlich benötigen Sie die Informationen nie. Das Feld 'Durchgeführte Aktion' kann drei verschiedene Meldungen anzeigen: Added Bislang existierte kein Anti-Vir.Dat-Datensatz dieser Datei. Nun wurde er hinzugefügt. I - 15 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Changed Ein Anti-Vir.Dat-Datensatz der Datei existierte bereits, doch die Datei hat sich verändert. Die Anti-Vir.Dat-Information wurde aktualisiert. Updated Ein Anti-Vir.Dat-Datensatz der Datei existiert bereits. Sie hat sich nicht verändert. TbSetup hat jedoch einige der Zugriffsinformationen verändert. Ursache: ein Eintrag der TbSetup.Dat-Datei bzw. die 'Set'- oder 'Reset'-Angabe in der Befehlszeile. Sie können TbSetup durch Drücken von Strg-Pause (Ctrl-Break) abbrechen. Der Zweck der TbSetup.Dat-Datei Obwohl die Thunderbyte-Utilities mit nahezu jeder Datei korrekt arbei- ten, gibt es doch einige Dateien, die eine besondere Behandlung benöti- gen. Um solche Dateien zu erkennen, verwendet TbSetup die Datendatei TbSetup.Dat. Dabei setzt es besondere Markierungen in die Anti-Vir.Dat- Datei, mit deren Hilfe die anderen Thunderbyte-Utilities erkennen, wel- che Ausnahmen für eine solche 'Spezialdatei' gelten sollen. Beispiele solcher Dateien sind: In manchen Programmen wird die Konfigurationsinformation in den aus- führbaren Dateien (EXE, COM) abgelegt. Verändern Sie die Konfigu- ration eines solchen Programms, verändert sich damit auch der Inhalt der Programmdatei. Folglich stimmt die neue Prüfsumme mit der alten nicht mehr überein. Einige Thunderbyte-Utilities benötigen diese Prüfsumme aber, um die Integrität der Datei zu prüfen oder für die Virenbeseitigung. Deshalb ist es hilfreich, diese Utilities wissen zu lassen, daß sich die Prüfsumme erlaubterweise verändern kann. TbScan ist z. B. mit der 'heuristischen' Analyse in der Lage, bislang unbekannte Viren zu entdecken. Manchmal enthält eine Datei jedoch Zeichenfolgen, die einem Virus gleichen. In diesem Fall würde die heuristische Analyse einen falschen Alarm auslösen. Daher ist es von großer Hilfe, wenn TbScan erfährt, daß es bei einer solchen Datei keine heuristische Analyse durchführen darf. Die Read-Only-Attribute können von einigen Thunderbyte-Utilities überwacht werden, um zu verhindern, daß sie ohne Erlaubnis des Anwenders entfernt werden können. Es gibt jedoch einige Programme, die sich nicht mehr richtig verhalten, wenn ihr Read-Only-Attribut gesetzt wurde. Fast immer funktioniert das Standardverfahren beim Scannen mit TbScan ganz ausgezeichnet. Dennoch müssen manche Dateien einem besonderen Analyseverfahren unterzogen werden. Eine solche Datei ist die Novell NET$DOS.SYS-Datei, die trotz ihrer Dateinamenerweiterung kein Geräte- treiber ist, sondern ein Abbild der Netzwerk-Bootdiskette. Sie muß vollständig und auf ALLE Signaturen gescannt werden, einschließlich der Signaturen vom COM- und BOOT-Typ. I - 16 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Die speicherresidenten Überwachungs-Utilities des TBAV-Programmpa- kets entdecken alle Formen virenspezifischen Verhaltens. Einige der "normalen" Programme verhalten sich manchmal so, wie es für Viren typisch ist. Um zu verhindern, daß TBAV durch die Ausführung solcher Programme alarmiert wird, muß diesen Programmen ein solches Verhal- ten gestattet werden. Die Vorstellung, daß einige Dateien von der heuristischen Analyse aus- geschlossen werden, verursacht Ihnen vielleicht Unbehagen. Doch sollten Sie darüber nicht vergessen, daß diese Dateien dennoch auf die herkömm- liche Art der Signaturenprüfung und dergleichen gescannt werden. Außerdem müßte eine Datei den gleichen Namen, die gleiche Größe und exakt die gleiche 32-Bit-CRC-Prüfsumme besitzen, wie in der TbSetup.Dat-Datei an- gegeben, damit das Flag zum Deaktivieren der heuristischen Analyse fälschlicherweise in die Anti-Vir.Dat-Datei eingetragen wird. Das stellt aber noch immer kein Sicherheitsrisiko dar: Wenn eine Datei, die in der TbSetup.Dat-Datei aufgeführt ist, infiziert sein sollte, dann stimmt die 32-Bit-CRC-Prüfsumme nicht mehr und TbSetup wird die Datei nicht mehr er- kennen und zulassen. Auch wenn ein Programm nachträglich infiziert wird, verändert sich die Datei, womit die Angaben in der Anti.Vir-Dat-Datei nicht mehr mit der Datei übereinstimmen. Damit wird sie automatisch wieder einer vollständigen heuristischen Analyse unterzogen. I - 17 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I 4. TbDriver 4.1 Der Zweck von TbDriver TbDriver selbst bietet keinen Schutz vor Viren, muß jedoch geladen werden, damit die anderen speicherresidenten Thunderbyte Anti-Viren- Utilities wie TbScanX, TbCheck, TbMem, TbFile und TbDisk korrekt ar- beiten können. Es stellt einige Routinen zur Verfügung, die von allen anderen Utilities verwendet werden: am Bildschirm erscheinende Mel- dungsfenster, die Übersetzungseinheit für die Verwendung Ihrer Mutter- sprache, Netzwerkunterstützung usw. Benutzung von TbDriver TbDriver muß vor allen anderen speicherresidenten TBAV-Utilities geladen werden. Genauere Anweisungen für das Laden erhalten Sie auf den folgenden Seiten. Normalerweise ist es nicht notwendig, die Startoption 'net' von TbDriver zu verwenden. Wenn Sie TbDriver auf einem Computer installieren, der von einem Boot-ROM gebootet (gestartet) wird, müssen Sie die Meldungs-Datei mit dem Pfad- und Dateinamen angeben, unter dem die Datei gefunden werden kann, NACHDEM der Computer gebootet ist. Die Datei unter dem vorgegebenen Namen ist nach dem Booten nicht mehr zugänglich. 4.2. Startoptionen In der Befehlszeile können beim Programmaufruf Optionen angegeben wer- den. Die Angabe eines Dateinamens wird als Name der Sprach-Datei ver- standen. Die ersten drei im folgenden erklärten Optionen sind jederzeit verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn TbDriver noch nicht speicherresident geladen ist. Option Parameter Abk. Erklärung ------ --------- ---- ---------------------------- help ? =Zeigt Hilfetext net n =Aktiviert besondere LAN-Unterstützung remove r =Entfernt TbDisk aus dem Speicher mode =<m|c> m =Gibt den Video-Modus an noavok =<Laufwerke> o =Keine Meldung bei fehlenden Anti-Vir-Daten quiet q =Aktivitäten werden nicht angezeigt secure s =Verhindert die Änderungs-Erlaubnis notunnel t =Keine Suche nach 'tunneling' I - 18 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I help (?) Wenn Sie diese Option wählen, zeigt Ihnen TbDriver die verfügbaren Startoptionen an, so wie oben aufgelistet. net (n) TbDriver arbeitet mit den meisten Netzwerken gut zusammen, deshalb ist die Option 'net' (abgekürzt mit "n") normalerweise nicht erforderlich. Die Option 'net' ist nur erforderlich, wenn ALLE folgenden Bedingungen erfüllt sind: Die Verbindung zu einem Novell-Netzwerk ist aufgebaut, und TbDriver.Exe wurde gestartet, bevor das Logon-Kommando benutz wurde, und keine gültigen Anti-Vir.Dat-Daten in dem Verzeichnis sind, wo sich das Programm NET?.COM befindet, oder das Programm NET?.COM umbenannt wurde. remove (r) Wurde TbDriver bereits speicherresident geladen, so kann es durch den Aufruf von TbDriver mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbDriver geladen, so könnte die Entfernung des Programms aus dem Speicher große Probleme verursachen. TbDriver erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. mode (m) Werden an einem Computer gleichzeitig zwei Video-Systeme dual verwendet, so verwendet TbDriver den Bildschirm, der aktiv war, als TbDriver auf- gerufen wurde. Ist dies nicht erwünscht, können Sie den Bildschirm angeben, der zu verwenden ist: 'mode=m' für monochrome, 'mode=c' für farbige Systeme. noavok (o) Die Option 'noavok' (abgekürzt "o") wird für die normale Verwendung NICHT empfohlen. Sie können mit ihr Programmen, für die keine Daten in der Datei Anti-Vir.Dat gespeichert sind, eine automatische Erlaubnis erteilen. Die Option 'noavok' erfordert einen Parameter, der angibt, für welche Laufwerke die Erlaubnis gelten soll. Beispiel: Wenn Sie keine Meldung von TbMem erhalten wollen, wenn ein TSR-Programm ohne entsprechende Angaben in der Datei Anti-Vir.Dat von Laufwerk g: oder h: aus gestartet werden soll, müssen Sie 'noavok=gh' als Startparame- ter von TbDriver angeben. quiet (q) Einige der speicherresidenten TBAV-Utilities zeigen ihre Aktivität am Bildschirm an. TbScanX läßt das Wort "*Scanning*" in der oberen linken Bildschirmecke aufleuchten, während es scannt. Sie können dies mit der Option 'quiet' (abgekürzt "q") verhindern. Diese Option von TbDriver kann nur verwendet werden, wenn TbDriver noch nicht resident geladen ist. secure (s) Einige der Thunderbyte-Utilities können in der Anti-Vir.Dat-Datei Erlaub- nisinformationen abspeichern. Wenn Sie die Veränderung dieser Informatio- nen verbieten wollen, können Sie die Option 'secure' (abgekürzt "s") ein- setzen. Diese Option hat keinen Einfluß auf bereits erteilte Erlaubnisse, so daß Sie sie nach der Installation aller Programme verwenden können. I - 19 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I notunnel (t) TbDriver entdeckt normalerweise den Versuch von Viren zu tunneln. Das Tunneln ist eine von Viren verwendete Technik, um den Speicherplatz des DOS-System-Codes im Speicher zu entdecken und diese Adresse für di- rekte Kommunikation mit DOS zu gebrauchen. Damit wird die Überwachung aller speicherresidenten Antiviren-Programme umgangen. TbDriver ist in der Lage, Tunnel-Versuche festzustellen und vor ihnen zu warnen. Es gibt andere Antiviren-Programme, die sich der Tunnel-Technik bedienen, um speicherresidente Viren zu umgehen. Diese verursachen dabei dann einen falschen Alarm. Wenn Sie solche anderen Antiviren-Programme verwenden, können Sie mit der Option 'notunnel' (abgekürzt "t") die Überprüfung von Tunnelversuchen abschalten. 4.3. Sprachunterstützung TbDriver verwendet für die am Bildschirm erscheinenden Meldungen normalerweise die in der Datei TBDRIVER.LNG gespeicherten Texte und sucht diese Datei in dem Verzeichnis, in dem sich auch die Programm- datei von TbDriver befindet. Wenn Sie die Texte in einer anderen Sprache angezeigt haben möchten, sollten Sie überprüfen, ob eine Sprachdatei für die gewünschte Sprache verfügbar ist. Ist die Datei vorhanden, können Sie sie mit ihrem voll- ständigen Pfad- und Dateinamen hinter dem Aufruf von TbDriver angeben. Sie können die verwendete Sprache auch einfach wechseln, indem Sie TbDriver noch einmal aufrufen, mit dem Namen der zu benutzenden Sprach- datei. Hierdurch wird kein zusätzlicher Speicherplatz benötigt. I - 20 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I 5. Systempflege Jedes System bedarf der Pflege, so auch die TBAV-Utilities. Da immer neue Viren auftauchen, muß die Signaturendatei von TbScan regelmäßig upgedated werden. Sie können die jeweils aktuellste Signaturendatei immer aus einer unserer Support-Mailboxen herunterladen. Sicherlich wollen Sie ab und an neue Programme und Updates auf Ihrem System installieren. Vergessen Sie dabei nicht, diese neuen Programme mit TbSetup aufzunehmen! Sobald Sie eine neue DOS-Version installieren, wird der Bootsektor ver- ändert. Verändern Sie die Konfiguration Ihrer Laufwerke, ändert sich die Partitionstabelle und/oder die CMOS-Einstellungen. In all diesen Fällen müssen Sie eine neue Rettungsdiskette anlegen. Updates Die Thunderbyte Anti-Viren-Utilities werden ständig aktualisiert. Diese Updates können Sie bei allen Thunderbyte-Support-Mailboxen erhalten. Aber auch bei vielen anderen Mailboxen können Sie die aktuellsten Versionen unserer Software beziehen. Die komplette Fassung trägt die Bezeichnung: TBAVxxx.ZIP. 'xxx' steht (als Platzhalter) für die dreistellige Versionsnummer der jeweiligen Thunderbyte Anti-Viren-Utilities. Um die hohe Zuverlässigkeit der Produkte zu gewährleisten, können Sie Beta-Versionen beziehen. Diese Versionen werden nur eingeschränkt ver- trieben, sind also nur bei den Thunderbyte-Support-Mailboxen in den Niederlanden und den USA zu erhalten. Sie enthalten nur die veränder- ten Dateien. Beta-Fassungen werden durch ein 'B' in ihrer Bezeichnung gekennzeichnet: TBAVBxxx.ZIP. Um die Übertragungskosten so gering wie möglich zu halten, wurden spe- zielle Upgrade-Archive eingerichtet, die die Dateien enthalten, die seit der letzten offiziellen Fassung verändert wurden. Sie sind durch das 'U' in ihrer Bezeichnung gekennzeichnet: TBAVUxxx.ZIP: Die speicherresidenten Thunderbyte Anti-Viren-Utilities gibt es auch in prozessoroptimierten Fassungen. Diese prozessoroptimierten Fassungen sind nur registrierten Anwendern zugänglich und befinden sich in Archi- ven, die ein 'X' in ihrem Dateinamen tragen: TBAVXxxx.ZIP. Vertrieb der Signaturendateien Die Signaturendatei (TBSCAN.SIG) wird jeden Monat aktualisiert. Sie wird über ein Archiv mit dem Namen TBSIG%##.ZIP (% = Jahr, ## = Nummer der Ausgabe) vertrieben. In den meisten Mailboxen befindet sich inner- halb von 48 Stunden, nachdem die Master-Kopie in der Thunderbyte- Support-Mailbox in den Niederlanden aktualisiert wurde, ebenfalls eine aktualisierte Version. I - 21 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I Sprachunterstützung Die Thunderbyte Anti-Viren-Utilities unterstützen verschiedene Sprachen. Die Dateien, die die Sprachunuterstützung enthalten, werden in Archiven unter dem Namen TB<Name><Version>.ZIP vertrieben, wobei <Name> für den Ländercode und <Version> für die TBAV-Versionsnummer steht. Eine Sprach- datei, die auf Holländisch die Version 5.00 unterstützt, trägt daher die Bezeichnung TBNL500.ZIP. Sie erhalten diese Sprachdateien in den meisten Thunderbyte-Support-Mailboxen. I - 22 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I 6. Netzwerkpflege Die Signaturendatei TbScan.Sig sollte regelmäßig ersetzt werden. Dies kann viel Arbeit bedeuten, wenn Sie viele Arbeitsplätze eines Netzwerks einzeln aktualisieren. Glücklicherweise gibt es mehrere Möglichkeiten, diesen Arbeitsvorgang automatisch ausführen zu lassen. 6.1 Verwenden von DOS REPLACE Richten Sie auf dem Server ein Verzeichnis mit dem Namen \TBAV_UPD\ ein. Sollten Sie eine neue Fassung von TBAV oder der Signaturendatei TbScan.Sig erhalten, so kopieren Sie sie in dieses Verzeichnis. Sobald sich ein Arbeitsplatzcomputer im Netz anmeldet, sollte eine Batch- datei automatisch abgearbeitet werden. In den meisten Fällen ist dies so üblich. Diese Batchdatei sollte die folgenden Zeilen enthalten: REM Neues Anti-Viren-Produkt installieren, wenn vorhanden. replace x:\tbav_upd\*.* c:\tbav /u /r 'Replace' ist ein normaler DOS-Befehl. Er kopiert die Dateien, die durch den ersten Parameter gekennzeichnet werden, nur dann, wenn diese aktueller sind als die Dateien, die durch den zweiten Parameter angegeben werden. Vergewissern Sie sich, daß der Befehl 'replace' in der verwendeten Konfi- guration in einem Pfad gefunden werden kann, der in der Umgebungsvaria- blen PATH aufgeführt ist. In den meisten Fällen wird der Befehl 'replace' nichts bewirken, es sei denn, Sie aktualisieren Ihr x:\tbav_upd Verzeichnis. Bei dieser Vorge- hens weise müssen Sie lediglich ein Laufwerk mit der neuesten Signaturen- datei bzw. Anti-Viren-Software ausstatten, denn alle anderen Arbeits- platzcomputer führen das Update selbständig durch, sobald sie sich im Netz anmelden! Wollen Sie mit Hilfe des REPLACE-Programms alle Verzeichnisse der Arbeitsplatzcomputer auf zu aktualisierende Dateien durchsuchen lassen, können Sie die Option /S hinzufügen. Beachten Sie: Vergessen Sie nicht, TbSetup für die neuen Utilities im Verzeichnis x:\tbav_upd zu starten. Dies stellt sicher, daß der Befehl REPLACE auch die neue Anti-Vir.Dat-Datei kopiert. 6.2. Verwenden von PkUnZip.Exe Richten Sie auf dem Server ein Verzeichnis mit dem Namen \TBAV_UPD\ ein. Sollten Sie eine neue Fassung eines gepackten Archivs mit TBAV-Dateien erhalten, so kopieren Sie diese in das genannte Verzeichnis. Sobald sich ein Arbeitsplatzcomputer im Netz anmeldet, sollte eine Batch- datei automatisch abgearbeitet werden. In den meisten Fällen ist dies so I - 23 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I üblich. Diese Batchdatei sollte die folgenden Zeilen enthalten: REM Neues Anti-Viren-Produkt installieren, wenn vorhanden. PkUnZip -n -o x:\tbav_upd\TBAV???.ZIP c:\tbav => Vergewissern Sie sich, daß der Befehl 'PkUnZip' in der verwendeten Konfiguration in einem Pfad gefunden werden kann, der in der Umge- bungsvariablen PATH aufgeführt ist. In den meisten Fällen wird der Befehl 'PkUnZip' nichts bewirken, es sei denn, Sie aktualisieren Ihr x:\tbav_upd Verzeichnis. Bei dieser Vorge- hensweise müssen Sie lediglich ein Laufwerk mit der neuesten Signaturen- datei bzw. Anti-Viren-Software ausstatten, denn alle anderen Arbeits- platzcomputer führen das Update selbständig durch, sobald sie sich im Netz anmelden! I - 24 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II KAPITEL II. ANTI-VIREN-STRATEGIEN 1. Schutz gegen Viren 1.1. Einführung Ein zuverlässiges Sicherheitssystem aufrecht zu erhalten setzt voraus, daß Sie Maßnahmen ergreifen, Ihr System vor einer Vireninfektion zu schützen, da sich einige Viren perfekt verstecken können, sind sie erst einmal im Speicher resident geworden. Mindestens einmal pro Woche soll- ten Sie Ihren Rechner von einer virenfreien und schreibgeschützten Boot- diskette starten und TbScan ausführen. Wie eng Ihr Sicherheitssystem ist, hängt im wesentlichen davon ab, wieviel Zeit Sie bereit sind für Sicherheitsmaßnahmen aufzuwenden und wie wichtig für Sie das entsprechende Computersystem ist. Für den Ein- satz auf einem Einzelplatz-Rechner mit weniger riskanten Daten, in ei- ner Umgebung, in der ein geringer Software-Austausch stattfindet, er- scheint ein tägliches Scannen ausreichend. Für gewerbliche Nutzer, in einem Netzwerk, wo Disketten häufig getauscht werden, wo Datenträger höchst "verwundbare" Informationen tragen, wo ein Netzwerkabsturz hohe finanzielle Verluste bedeutet, muß der Schutz so engmaschig wie nur irgend möglich sein. In Anbetracht dessen kann eine einfache Anleitung, wie die - höchst flexiblen - TBAV-Utilities eingesetzt werden sollen, nicht gegeben werden. Alles hängt von Ihren Ansprüchen und Möglichkeiten ab. Deshalb raten wir Ihnen, dieses Handbuch gründlich zu studieren, damit Sie in die Lage versetzt werden, Ihre eigenen Sicherheitsmaßnahmen zu treffen. Um Viren davon abzuhalten, irgendeinen Schaden anzurichten, sollten Sie zumindest die im folgenden aufgeführten Maßnahmen durch- führen. 1.2. Grundsätzliche Vorkehrungen 1. Installieren Sie TBAV auf Ihrer Festplatte Sie können die Installation verfeinern, damit Sie Ihre eigenen Erfor- dernissen entspricht. Vergewissern Sie sich, daß Sie TbSetup ausgeführt haben, damit Wiederherstellungs-Informationen für alle ausführbaren Da- teien Ihres Systems existieren. Bitte ziehen Sie das Installationskapi- tel (I) dieses Handbuches zu Rate. In den folgenden Beispielen wird davon ausgegangen, daß alle Utilities in ein Verzeichnis mit dem Namen TBAV kopiert wurden. In allen Bei- spiel-Einstellungen wird vorausgesetzt, daß TbSetup ausgeführt wurde. Sollte Ihr Computer mit mehreren Festplatten oder Partitionen ausge- stattet sein, müssen Sie den Aufruf von TbSetup für jedes Laufwerk bzw. jede Partition wiederholen. In den Beispielen wird außerdem angenommen, daß Sie eine Rettungsdis- kette angelegt haben. II - 1 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II Die im folgenden dargestellten Installationsbeispiele sollen Ihnen ledig- lich als Anhalt für die Verwendung der TBAV-Utilities dienen. Diese Bei- spiele stellen keine vollständig optimierte Virenschutzvorrichtung dar. 2. Erstellen einer Rettungsdiskette Eine Rettungsdiskette ist nötig, um irgendwelche Viren in der Zukunft beseitigen zu können. Ohne eine solche Rettungsdiskette werden Sie einen Virus niemals entfernen können. Nehmen Sie sich ein paar Minuten Zeit, um sich diese Diskette jetzt anzulegen! Verwenden Sie eine neue, leere Diskette und legen Sie sie in Laufwerk a: ein. Wechseln Sie in Ihr DOS-Verzeichnis und führen Sie folgende Befehle aus: Format A:\ /S Copy SYS.COM A: Wechseln Sie nun in das TBAV-Verzeichnis: CD \TBAV Rufen Sie die Batchdatei MakeResc auf: MakeResc A: Die Batch-Datei MakeResc.Bat erstellt eine zuverlässige Rettungsdis- kette indem Sie folgende Dateien anlegt oder kopiert. - Ein Backup des Bootsektors, der Partitionstabelle und der CMOS- konfiguration. - Eine Config.Sys-Datei mit folgendem Inhalt: Files=20 Buffers=20 Device=TbDriver.Exe Device=TbCheck.Exe FullCRC - Eine Autoexec.Bat-Datei mit folgendem Inhalt: @echo off echo off PATH=A:\ TBAV Cls Echo Warnung!!! Echo Wenn Sie einen Virus vermuten, führen Sie NICHTS Echo von der Festplatte aus! II - 2 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II - Die folgenden Dateien: TBAV.EXE TBAV.LNG TBSCAN.EXE TBSCAN.LNG TBSCAN.SIG TBDRIVER.EXE TBDRIVER.LNG TBCHECK.EXE TBCLEAN.EX TBUTIL.EXE TBUTIL.LNG Kopieren Sie nun alle Programme, die Sie im Notfall verwenden möchten, auf diese Diskette. Einen kleiner Editor - um die Config.Sys und/oder die AutoExec.Bat verändern zu können - ist sehr zu empfehlen. Sollte Ihre Festplatte besondere Gerätetreiber für den Zugriff benötigen (beispielsweise bei Verwendung von Festplattenkomprimierern) kopieren Sie diese ebenfalls auf die Rettungsdiskette und tragen Sie sie in die Config.Sys-Datei des Laufwerks a: ein. Weitergehende Hinweise können Sie den entsprechenden Handbüchern entnehmen. Die Diskette ist so gut wie angelegt. MACHEN SIE DIE DISKETTE SCHREIB- GESCHÜTZT, indem Sie einen Schreibschutzaufkleber anbringen oder den Schreibschutzschieber benutzen. Versehen Sie die Diskette mit der Auf- schrift "Rettungsdiskette". Bewahren Sie die Diskette an einem sicheren Ort auf. Benutzen Sie sie nicht, bis Sie sie benötigen! 3. Vermeidung illegaler Software Viele Firmen wollen verhindern, daß ihre Angestellten unerlaubt Software installieren oder einsetzen. Oder vielleicht wollen Sie Familienmit- glieder davon abhalten, Ihren Computer mit allen möglichen Spiele voll- zuladen. TBAV stellt eine Art "Wachhund"-Option zur Verfügung, die Ihnen hilft, dies zu durchzusetzen. Fügen Sie der Datei Config.Sys die folgenden Zeilen hinzu: Device=C:\TBAV\TbDriver.Exe Device=C:\TBAV\TbCheck.Exe secure Wenn Sie die TBAV-Utilities unter Verwendung des TBAV-Installationspro- gramms installiert, können Sie - anstatt die Datei CONFIG.SYS zu edi- tieren - die TBSTART.BAT-Datei anpassen, indem Sie die 'secure'-Option an den Aufruf von TbCheck anfügen. C:\TBAV\TbDriver C:\TBAV\TbCheck secure Führen Sie TbSetup auf Ihrem System aus: TbSetup C:\ II - 3 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II Starten Sie Ihren Computer erneut durch Drücken der Tastenkombination <Strg>-<Alt>-<Entf> (<Ctrl>-<Alt>-<Del>). Von jetzt an wird es TbCheck jeden Anwender unmöglich machen, irgendein Programm zu starten, das nicht bereits beim Aufruf von TbSetup zugelassen wurde. Wann immer je- mand ein unbekanntes Programm aufruft, wird TBAV folgende Meldung am Bildschirm anzeigen: +---- Unterbrechung durch TBAV --------+ | WARNUNG! | | Das aufegrufene Programm (GAME.EXE) | | ist nicht zugelassen und kann nicht | | ausgeführt werden. | | Ausführung verhindert! Taste drücken.| +--------------------------------------+ 4. Schutz vor dem Personal Die meisten TBAV-Utilities sind interaktiv, erfordern eine Kommunikation mit dem Anwender. In manchen Firmen erscheint es sinnvoll, daß der Sy- stembetreuer als einziger mit TBAV kommuniziert, wenn etwas wichtiges passiert. Alle TBAV-Utilities unterstützen die Option 'secure'. Wird diese Option benutzt, wird der Anwender nicht mehr nach seiner Erlaub- nis gefragt, ob gefährliche Operationen durchgeführt werden dürfen: TBAV lehnt generell die Durchführung aller gefährlichen oder verdächtigen Operationen ab. 5. Benutzen Sie zum Booten niemals 'fremde ' Disketten Booten Sie nur von Ihrer Festplatte oder Original-DOS-Diskette aus. Benutzen Sie für den Bootvorgang NIEMALS eine Diskette von jemand anderem! Nehmen Sie Disketten aus dem Laufwerk a:, bevor Sie Ihren Computer anschalten oder mit einem Reset erneut booten, sofern Sie eine Festplatte benutzen. 6. Benutzen Sie öfters ChkDsk Benutzen Sie regelmäßig das DOS-Programm ChkDsk (ohne die Option /F). Auch mit ChkDsk können Sie Viren entdecken, da einige von ihnen die Diskettenstruktur auf unzulässige Weise verändern und dadurch Disketten- fehler hervorrufen. Achten Sie auf Veränderungen im Verhalten Ihrer Software oder Ihres Computers. Jede Veränderung im Verhalten ist ver- dächtig, solange Sie den Grund dafür nicht kennen. Höchst verdächtige Anzeichen für Viren sind: - Der verfügbare Speicherplatz hat sich verringert. - Die Programme benötigen mehr Zeit, um ausgeführt zu werden. II - 4 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II - Die Programme arbeiten nicht wie gewohnt, oder verursachen nach einiger Zeit Abstürze oder das Neustarten des Computers. - Daten verschwinden oder werden beschädigt. - Die Größe eines oder mehrerer Programme hat zugenommen. - Die Bildschirmanzeige verhält sich seltsam oder es werden unerwartete Informationen angezeigt. - ChkDsk entdeckt viele Fehler. II - 5 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II 2. Was bei einem Virenbefall zu tun ist 2.1. Aufspüren von Viren Das erste was Sie tun sollten, wenn Sie annehmen, Ihr System wäre von einem Virus befallen ist, sofort ein Backup aller wichtigen Dateien anzufertigen. Verwenden Sie nur neue Backup-Medien, und überschreiben Sie nie ein bereits existierendes Backup. Sie könnten dieses alte Back- up u.U. brauchen, um infizierte oder verlorengegangene Dateien zu er- setzen. Beschriften Sie das neue Backup mit "infiziert und unzuver- lässig". Wenn Sie annehmen, Ihr System wäre von einem Virus befallen, ist es absolut wichtig, daß Sie nur von einer virenfreien, schreibgeschützten Rettungsdiskette aus booten. Kennen der Symptome Als nächstes starten Sie TbScan, um herauszufinden, was nicht in Ord- nung ist, oder booten Sie von einer Rettungsdiskette und vergleichen Sie die Systemdateien darauf mit jenen auf der Festplatte, um eventuelle Veränderungen zu erkennen. Während dieses Tests sollten Sie darauf achten, daß Sie auf Ihrer Systemdiskette bleiben, d.h. nur Dateien aus- führen, die sich auf dieser befinden. TbScan meldet den Namen des Virus, sofern er bekannt ist. Ist er unbe- kannt, werden die Dateiveränderungen angezeigt. TbScan C:\ logname=lpt1 Starten Sie TbUtil, um den Bootsektor, den Partitions-Code und die CMOS- Einstellungen durch Vergleich zu überprüfen. TbUtil compare Starten Sie KEINESFALLS ein Programm von Ihrer Festplatte! Solange Sie Ihr System von Viren reinigen wollen, muß dem Virus der Zugriff auf Ihren Speicher verhindert werden. Sollten Sie versehentlich versuchen, ein infiziertes oder unerlaubtes Programm von Ihrer Festplatte aufzu- rufen, wird TbCheck Sie warnen. Bitte denken Sie daran, daß Dateiviren soviel Programme als möglich binnen kurzer Zeit infizieren wollen. Daher ist es äußerst unwahr- scheinlich, daß Sie auf einer Festplatte, mit der regelmäßig gearbeitet wird, nur wenige infizierte Programme finden. Meldet Ihnen TbScan, daß nur 1% der Dateien auf der Festplatte von Viren befallen ist, handelt es sich wahrscheinlich um einen falschen Alarm. Sollte der Dateien-Vergleich zeigen, daß alle Dateien unverändert sind, wissen Sie zumindest, daß Sie es nicht mit einem Dateivirus zu tun haben. Haben Sie einen Virus gefunden, benutzen Sie diese Kopie von TbScan II - 6 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II NICHT NOCHMALS, um andere Rechner zu durchsuchen, es sei denn, Sie hat- ten das Programm bereits auf eine schreibgeschützte Diskette kopiert, bevor Ihr Rechner von Viren befallen wurde. Obwohl TbScan bereits wäh- rend des Aufrufs einen Virenselbsttest durchführt, gibt es Viren, die in der Lage sind, eine Selbstkontrolle zu unterlaufen. Daher können selbst in TbScan Viren verborgen sein, ohne daß das Programm sie bemerkt. Die Unfähigkeit, Stealthviren (Tarnkappenviren) zu entdecken, ist ALLEN Pro- grammen gemein, die eine Selbstkontrolle durchführen. Deshalb raten wir Ihnen, eine virenfreie Version von TbScan auf einer schreibgeschützten Diskette aufzubewahren. Sollten Sie einen Virus auf Ihrem Rechner ent- deckt haben, sollten Sie andere Computer nur mit Hilfe dieser Diskette prüfen. Identifizierung der Charakteristika Identifizieren Sie den Virus. Sobald Sie wissen, um welchen Virus es sich handelt, wissen Sie, welchen Schaden er anrichtet, und ob die Daten-Dateien betroffen sind oder nicht. Zur Identifizierung des Virus können Sie einen Scanner verwenden. Sobald Sie seinen Namen ermittelt haben, sollten Sie sich Zusatzinformationen beschaffen. Melden Sie sich in unserer Support-Mailbox, schlagen Sie in entsprechender Literatur nach oder bitten Sie einen Virenexperten um Rat. Solange der Virus nur ausführbare Dateien befallen hat, brauchen Sie auch nur die ausführbaren Dateien zu ersetzen. Sollte der Virus aber jedesmal einige Bytes zufälliger Stellen Ihrer Festplatte vertauschen, wenn Sie ein Programm starten, müssen Sie auch Ihre Daten-Dateien er- setzen, selbst dann, wenn Sie in den Daten-Dateien keine Veränderungen feststellen können. Verfallen Sie nicht in Panik! Panik hilft Ihnen nicht, da Sie in Ruhe vorgehen müssen, um die Situation zu meistern. In der Vergangenheit wurde bei Vireninfektionen meist größerer Schaden durch die Anwender als durch die Viren selbst verursacht. Identifizieren Sie nur den Virus und beschaffen Sie sich Informationen über ihn. Das schlimmste, was Sie jetzt tun könnten, wäre die sofortige Neuformatierung Ihrer Fest- platte(n). Sobald Sie wissen, was der entdeckte Virus bewirkt, können Sie eine Strategie zu seiner Beseitigung entwickeln. 2.2. Beseitigung von Viren Für die Beseitigung eines Virus ist es unerläßlich, von einer nicht in- fizierten, schreibgeschützten DOS-Diskette aus neu zu starten. Starten Sie AUF KEINEN FALL ein Programm, das sich auf Ihrer Festplatte befindet! Während der Virenbeseitigung muß dem Virus der Zugriff auf den Speicher unbedingt verweigert werden. Ersetzen Sie die DOS-Systemdateien und den Master-Bootsektor mit Hilfe des DOS-Befehls SYS von der Systemdiskette. Sollte der Bootsektor oder Partitionscode einen Virus enthalten, können Sie diesen mittels TbUtil wieder loswerden indem Sie den virenfreien Sektor wiederherstellen: TbUtil restore II - 7 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II Viele moderne Festplatten, insbesondere IDE- oder AT-Bus-Platten werden durch besondere Verfahren vom Hersteller Low-Level-formatiert und brau- chen vom Anwender nur noch partitioniert und mit dem DOS-Befehl forma- tiert zu werden. Versuchen Sie nicht, eine solche Festplatte selbst einer Low-Level-Formatierung zu unterziehen. Es ist in jedem Fall bes- ser, mit einem Utility wie TbUtil ein Backup der Partitionstabelle anzu- fertigen und diese mit TbUtil auch wiederherzustellen - ohne Neufor- matierung. Handelt es sich um einen Dateivirus, müssen alle infizierten Dateien entfernt werden (unter Verwendung von TbDel) und die ausführbaren Da- teien von einer virenfreien Quelle kopiert oder reinstalliert werden. Ein Utility wie TbClean, das Viren beseitigt, kann den Original-Pro- grammcode nicht immer hundertprozentig wiederherstellen und sollte des- halb nur als letzter Rettungsanker verwendet werden, wenn Sie z.B. kein zuverlässiges Backup haben. Es könnte erforderlich sein, auch Datenda- teien zu ersetzen, sofern der Virus in der Lage war, auch in diesen Be- reichen Schaden anzurichten. Nachdem Sie sich versichert haben, daß Ihr System wieder absolut viren- frei ist, sollten Sie daran gehen, sorgfältig alle Disketten, Backups usw. überprüfen, um sämtliche Spuren des Virus zu beseitigen. Eine ein- zige infizierte Diskette kann Ihnen immer wieder denselben Ärger be- scheren. II - 8 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III KAPITEL III. VERWENDUNG DER TBAV-UTILITIES 1. TbScan 1.1. Der Zweck von TbScan TbScan ist ein Virenscanner, der speziell für das Entdecken von Viren, Trojanischen Pferden und anderen derartigen Angriffen auf Ihre wert- vollen Daten entwickelt wurde. Mit einem Virenscanner können Sie vorgegebene Virensignaturen aufspüren. Die meisten Viren enthalten eine eindeutige charakteristische Abfolge von Befehlen und damit Zeichen, die als Signatur bezeichnet werden. Die Suche nach solchen Signaturen in den Dateien ermöglicht daher eine Ent- scheidung, ob Ihr Programm infiziert ist oder nicht. Indem Sie sämtliche Programmdateien auf die Signaturen aller bislang be- kannten Viren prüfen, finden Sie schnell heraus, ob Ihr System infiziert ist, und wenn ja, von welchem Virus. Schnelles Scannen TbScan ist einer der schnellsten (im Moment der absolut schnellste) Virenscanner, die erhältlich sind. Dies lädt die Anwender geradezu ein, den Scanner jeden Morgen von der AUTOEXEC.BAT-Datei aus zu starten. TbScan wurde so entwickelt, daß die Geschwindigkeit auch bei größer- werdender Zahl von zu vergleichenden Virensignaturen nicht abnimmt. Es macht daher keinen Unterschied, ob Sie Ihre Programme auf 10 oder 1000 Signaturen prüfen lassen. Wird TbScan gestartet, überprüft sich das Programm selbst. Sollte es dabei entdecken, daß es von Viren befallen ist, so wird das Programm an dieser Stelle mit einem Fehler abbrechen. Dieses Vorgehen verringert das Risiko, daß TbScan selbst einen Virus überträgt und das System infiziert. Heuristisches Scannen TbScan erkennt sogar ihm unbekannte Viren, da der eingebaute Dis- assembler verdächtige Instruktionssequenzen und einen ungewöhlichen Programmaufbau aufspüren kann. Dieser Vorgang wird 'heuristisches Scannen' genannt und wird für die meisten Dateien standardmäßig ein- gesetzt. Die heuristische Suche wird in Dateien und Bootsektoren aus- geführt, wodurch es TbScan möglich ist, dort neue und bisher unbe- kannte Viren zu entdecken. => Beachten Sie: Ein Virenscanner verrät Ihnen lediglich, ob Ihr System von einem Virus befallen wurde, und wenn ja, ob bereits Schaden ent- standen ist. Zu diesem Zeitpunkt können nur noch nicht-infizierte Sicherheitskopien oder ein Wiederherstellungsprogramm wie TbClean die Vireninfektion vollständig ungeschehen machen. Scan Scheduling Einen Virenscanner sollte jede/r PC-Benutzer/in regelmäßig einsetzen. Es ist das Mindeste, was Sie tun können, um Schäden durch Viren zu ver- meiden. In diesem Zusammenhang ist es sehr ratsam, eine spezielle TbScan-Bootdiskette zu erstellen. III - 1 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Folgende Verhaltensregeln sollten Sie beachten (gedacht als Vorrang- liste): Führen Sie TbScan einmal wöchentlich von einer schreibgeschützten, bootfähigen Diskette aus. Booten Sie von dieser Diskette bevor Sie den Scanner aufrufen. Das Booten von einer Diskette ist der einzige Weg um sicherzustellen, daß noch kein Stealth-Virus speicherresident geworden ist. Führen Sie einmal täglich einen Scan-Vorgang durch. Sie können TbScan mit der Option 'once' aus der AUTOEXEC.BAT-Datei heraus aufrufen, um den täglichen Scandurchlauf automatisch ausführen zu lassen. Für diese täg- liche Routine ist es nicht nötig, von der bootfähigen TbScan-Diskette aus zu booten. Scannen Sie neue Disketten. 1.2. Benutzung von TbScan Für den Alltagsgebrauch können Sie TbScan von der DOS-Befehlszeile aus aufrufen (z.B. in der Autoexc.Bat) oder über das TBAV-Menü. Für den wö- chentlichen Gebrauch, wenn Sie von der TbScan-Diskette scannen, können Sie den DOS-Aufruf verwenden. Die entsprechenden Startoptionen, die Ihnen hierbei zur Verfügung stehen, sind in Abschnitt 1.3 diese Kapitels aufgeführt. Das 'TbScan'-Menü +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start scanning | | TbSca| Files/Paths to scan | | TbUti| Options menu | | TbCLe| Advanced options | | TBAV | If virus found | | Docum| Path configuration | | Quit | Log file menu | | eXit | View log file | +-------+-----------------------+ Files/path to scan Laufwerk und Pfad geben TbScan an, wo es den Scan-Vorgang durchführen soll. Um die Laufwerke C: und D: zu scannen, geben Sie ein: C:\ D:\ Geben Sie keinen Dateinamen, sondern ein Laufwerk und/oder einen Pfad an, so wird der genannte Pfad als übergeordneter Pfad behandelt. Alle Unterverzeichnisse dieses Pfads werden ebenfalls gescannt. Wurde dage- gen ein Dateiname angegeben, wird nur im angegebenen Pfad gesucht. Un- terverzeichnisse werden nicht gescannt. III - 2 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Platzhalter in Dateinamen sind zulässig. Sie können sogar '*.*' angeben, wodurch alle Dateien gescannt würden. View log file Wurde eine der 'log file'-Optionen aktiviert (siehe unten), können Sie mit dieser Option die Protokolldatei (=Logfile) ansehen. Das 'TbScan options'-Menü +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-----TbScan options------+ | TbSca| Files| Use TBAV.INI file | | TbUti| Optio| Prompt for pause | | TbCLe| Advan| Quick scan | | TBAV | If vi| Non-executable scan | | Docum| Log f| Maximum Compatibility | | Quit | View |v Bootsector scan | | eXit +-------|v Memory scan | +---------------| HMA scan forced | |v Upper memory scan | |v Sub-Directory scan | | Repeat scanning | |v Abort on Ctrl-Break | +-------------------------+ Use TBAV.INI file Wenn Sie diese Option auswählen, ist die Konfiguration von TbSetup, so wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS- Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2 ('Konfiguration'). Prompt for pause Wenn Sie die Option 'pause' aufrufen, wird TbScan innehalten, nachdem der Inhalt eines Fensters überprüft wurde. Dadurch erhalten Sie Gelegenheit, die Ergebnisse zu überprüfen, ohne die Protokolldatei anschauen zu müssen. Quick scan TbScan sucht anhand der Anti-Vir.Dat-Dateien nach Dateien, die sich seit dem letzten Scandurchlauf verändert haben. Nur Dateien, die sich verändert haben (CRC-Veränderung) oder die noch nicht in die Anti- Vir.Dat-Datei aufgenommen sind, werden gescannt. III - 3 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Non-executable scan Diese Option veranlaßt TbScan auch zum Scannen der nicht-ausführbaren Dateien (Dateien ohne Erweiterung wie COM, EXE, SYS oder BIN). Sollte TbScan dabei herausfinden, daß eine solche Datei keine vom Prozessor ausführbaren Anweisungen enthält, wird sie übersprungen. Andernfalls wird sie auf COM-, EXE- und SYS-Signaturen geprüft. Jedoch wird TbScan diese Dateien keiner heuristischen Analyse unterziehen. Da Viren keine nicht-ausführbaren Dateien befallen, ist es nicht nötig, diese zu scannen. Wir empfehlen Ihnen daher, diese Option nicht anzuwenden, so- lange Sie keinen besonderen Grund haben, alle Dateien zu scannen. Nochmals: ein Virus muß ausgeführt werden, um das anzurichten, für das er hergestellt wurde. Da nicht-ausführbare Dateien nicht ausgeführt werden, kann ein Virus in einer solchen Datei auch keinen Schaden an- richten. Aus diesem Grund versuchen Viren nicht einmal, diese Dateien zu infizieren. Maximum compatibility Wenn Sie diese Option aufrufen, versucht TbScan System-kompatibler zu arbeiten. Wenden Sie diese Option nur dann an, wenn das Programm nicht wie erwartet arbeitet oder sogar den Computer zum Stillstand bringt. Da diese Option die Scangeschwindigkeit vermindert, sollte Sie auch nur in solchen Fällen verwendet werden. => Beachten Sie, daß diese Option an den Scan-Ergebnissen nichts ändert. Bootsector scan Ist diese Option aktiviert, scannt TbScan den Bootsektor ebenfalls. Memory scan Ist diese Option aktiviert, scannt TbScan auch den Speicher des PCs. HMA scan forced TbScan erkennt das Vorhandensein eines XMS-Treibers und überprüft auto- matisch die HMA (den oberen Speicherbereich). Sollten Sie mit einem HMA- Treiber arbeiten, der nicht mit dem XMS-Standard kompatibel ist, können Sie mit dieser Option TbScan veranlassen, die HMA auf jeden Fall zu überprüfen. Upper memory scan TbScan erkennt und prüft den RAM-Speicher auch jenseits der DOS-Grenzen. Das bedeutet, daß der Bildschirmspeicher und die aktuellen EMS-Seiten III - 4 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III überprüft werden. Mit dieser Option aktivieren Sie die Überprüfung des Nicht-DOS-Speichers. Subdirectory scan TbScan sucht normalerweise auch in den Unterverzeichnissen nach ausführ- baren Dateien, außer es wird ein Dateiname (Platzhalter sind gestattet) angegeben. Mit dieser Option können Sie das Durchsuchen der Unterver- zeichnisse verhindern. Repeat scanning Diese Option ist sehr nützlich, wenn Sie eine große Anzahl von Disketten scannen wollen. Nachdem eine Diskette überprüft worden ist, kehrt TbScan nicht einfach auf die DOS-Ebene zurück, sondern fordert Sie einfach auf, eine neue Diskette in das Laufwerk einzulegen. Das 'TbScan advanced options'-Menü +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+----TbScan advanced options----+ | TbSca| Files| Full heuristic scan | | TbUti| Optio| Extract signatures | | TbCLe| Advan|v Auto heuristic level adjust | | TBAV | If vi+-------------------------------+ | Docum| Path configuration >| | Quit | Log file menu >| | eXit | View log file | +-------+-----------------------+ Full heuristic scan TbScan unterzieht die zu überprüfenden Dateien immer einer heuristischen Analyse. Allerdings meldet TbScan erst dann eine Infektion, wenn die Datei sehr wahrscheinlich infiziert ist. Wenn Sie diese Option verwen- den, wird TbScan sozusagen 'sensibler'. Ohne daß für sie eine Signatur existiert, werden mit diesem Modus 90% aller neuen, unbekannten Viren entdeckt. Allerdings können auch einige Fehlalarme auftreten. Lesen Sie dazu das Kapitel 3.1. 'Die heuristische Suche'. Extract signatures Diese Option steht nur registrierten Anwendern zu Verfügung. Schlagen Sie im Kapitel IV-5 nach, um zu erfahren, wie Sie die Option 'extract' anwenden können. III - 5 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Auto heuristic level adjust TbScan wechselt automatisch zur heuristischen Analysestufe nachdem ein Virus gefunden wurde. Dies bedeutet maximale Such-Fähigkeiten wenn sie gebraucht werden, bei gleichzeitiger Verringerung der Fehlalarme, die in der 'Natur' der heursitischen Analyse begründet sind. Mit anderen Worten: Sobald ein Virus gefunden wurde, verhält sich TbScan so, als ob die Option 'heuristic' spezifiziert wurde. Das 'If virus found'-Menü In diesem Menü können Sie einstellen, wie sich TbScan verhalten soll, wenn es einen Virus entdeckt. +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+--What if a virus is found?--+ | TbSca| Files|v Present action menu | | TbUti| Optio| Just continue (log only) | | TbCLe| Advan| Delete infected file | | TBAV | If vi| Rename infected file | | Docum| Log f+-----------------------------+ | Quit | View log file | | eXit +-----------------------+ +------------------+ Present action menu Wenn TbScan einen Virus entdeckt, öffnet sich ein Menü, das Ihnen meh- rere mögliche Maßnahmen zur Auswahl stellt: Fortfahren, Löschen oder Umbenennen der infizierten Datei. Just continue (log only) Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender aufgefordert, die infizierte Datei zu löschen oder umzubenennen. Wenn Sie diese Option wählen, wird TbScan ohne diese Aufforderungen fort- fahren. In diesem Fall sollte unbedingt eine Protokoll-Datei (LOG-File) verwendet werden, da ein Scan-Durchlauf, dessen Ergebnisse nicht gelesen werden, wenig Sinn macht (siehe auch 'Startoptionen') Delete infected file Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender aufgefordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne weitere Eingriffe fortzufahren. Haben Sie diese Option angegeben, III - 6 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III wird TbScan Sie nicht länger fragen, was zu tun ist, sondern die infi- zierte Datei automatisch löschen. Benutzen Sie diese Option, wenn Sie sicher sind, daß Ihr Computer infiziert worden ist. Vergewissern Sie sich, daß Sie eine virenfreie Sicherheitskopie haben, und daß Sie alle infizierten Dateien auf einmal beseitigen wollen. Rename infected file Sobald TbScan einen Dateivirus gefunden hat, wird der Anwender aufge- fordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne weitere Eingriffe fortzufahren. Wenn Sie die Option 'rename' angegeben haben, wird TbScan den Anwender nicht länger fragen, was zu tun ist, sondern die infizierte Datei selbständig umbenennen. Dabei wird das erste Zeichen der Dateinamenserweiterung normalerweise durch den Buchstaben 'V' ersetzt. Eine .EXE-Datei wird also in .VXE und eine .COM-Datei in .VOM umbenannt. Durch diese Umbenennung verhindern Sie, daß die infizierten Dateien ausgeführt werden können und damit die Infektion weiter um sich greifen kann. Gleichzeitig können die infizierten Dateien für eine spätere Überprüfung und Wiederherstellung aufbewahrt werden. Das 'TbScan LOG'-Menü +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-------TbScan LOG menu-------+ | TbSca| Files| Output to log file | | TbUti| Optio| Log file path/name | | TbCLe| Advan| Specify log-level >| | TBAV | If vi| Append to existing log | | Docum| Log f| No heuristic descriptions | | Quit | View +-----------------------------+ | eXit +-----------------------+ +------------------+ Output to logfile Mit dieser Option veranlassen Sie TbScan, eine Protokolldatei anzulegen. In dieser Protokolldatei werden alle infizierten Programmdateien aufge- führt, die Ergebnisse der heuristischen Suche (siehe Anhang B) sowie die vollen Pfadnamen. Log file path/name Mit dieser Option können Sie den Namen der Protokolldatei angeben, die angelegt oder erweitert werden soll. Der vorgegebene Dateiname lautet TBSCAN.LOG und wird im aktuellen Verzeichnis erstellt. Um die Ergebnisse auszudrucken, können Sie anstelle eines Dateinamens einen Druckeranschluß angeben (logname=lpt1). => Beachten Sie: die Option ist mit der Option 'log' zu benutzen. III - 7 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Append to existing log Durch diese Option überschreibt TbScan eine bestehende Protokolldatei nicht, sondern fügt die neuen Informationen an sie an. Sollten Sie mit dieser Option häufig arbeiten, dann empfehlen wir Ihnen, die Protokoll- datei hin und wieder zu löschen oder sie zu verkürzen, um deren unkon- trolliertes Anwachsen zu verhindern. => Beachten Sie: die Option ist mit der Option 'log' zu benutzen. No heuristic descriptions Wenn Sie diese Option benutzen, wird TbScan die ausführliche Beschrei- bung der heuristischen Meldungen in der Protokolldatei nicht mehr an- zeigen. Die Beschreibung der heuristischen Flags finden Sie in ANHANG B. Das 'LOG level'-Menü +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-------TbScan LOG menu-------+ | TbSca| Files| Log f+--------Log-level menu--------+ | TbUti| Optio| Outpu| 0: Log only infected files | | TbCLe| Advan| Speci|v 1: Log summary too | | TBAV | If vi| Appen| 2: Log suspected too | | Docum| Log f| No he| 3: Log all warnings too | | Quit | View +-------| 4: Log clean files too | | eXit +---------------+------------------------------+ +------------------+ Loglevel Mit diesen Levels legen Sie fest, welche Dateien in die Protokollda- tei aufgenommen werden sollen. Vorgegeben ist Protokoll-Level 1. Sie können zwischen fünf Protokoll-Levels wählen: 0 Nur infizierte Dateien werden protokolliert. Falls keine infi- zierten Dateien gefunden werden, soll die Protokolldatei weder angelegt noch die bestehende verändert werden. 1 In die Protokolldatei wird eine Zusammenfassung und eine Zeitanga- be geschrieben. Nur infizierte Dateien sollen protokolliert werden. 2 Das gleiche wie unter 1, zusätzlich werden auch 'verdächtige' Da- teien aufgenommen. Verdächtig sind Dateien, die den heuristischen Alarm auslösen, wenn die Option 'heuristic' benutzt worden ist. 3 Das gleiche wie unter 2, aber alle Dateien, die mit einer Warnmel- dung angezeigt werden, werden auch aufgeführt. 4 Alle Dateien, die überprüft wurden, werden in der Protokolldatei aufgenommen. III - 8 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 1.3. Startoptionen Wenn Sie TbScan von der DOS-Befehlszeile aus aufrufen, können Sie Optionen angeben. Diese können ausgeschrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die Optionen leichter zu merken, weshalb sie in diesem Handbuch so verwendet werden. TbScan sucht in seinem Verzeichnis nach einer Datei namens TBAV.INI. Wurde im [TbScan]-Abschnitt der TBAV.INI-Datei das Schlüsselwort 'UseIni' spezifiziert, sind diese Optionen auch wirksam, wenn Sie TbScan von der Befehlszeile aus aufrufen. Geben Sie also acht, da die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS-Ebene nicht außer Kraft gesetzt werden können. Option Parameter Abk. Erklärung ------ --------- ---- -------------------------------------------- help he = Hilfe pause pa = das 'Pause'-Prompt wird aktiviert mono mo = verwendet am Bildschirm Monochrommodus quick qs = Schnellscan (verwendet Anti-Vir.Dat) allfiles af = Scannen auch nicht-ausführbarer Dateien heuristic hr = aktiviert die heuristische Alarmbereitschaft extract ex = Signaturen erstellen (nur registr. Anwender) once oo = nur einmal täglich secure se = Abbruch durch Anwender nicht erlaubt (nur registrierte Anwender) compat co = maximaler Kompatibilitäts-Modus ignofile in = Fehlermeld. 'Keine Dateien gefunden' unterlassen noboot nb = Bootsektorprüfung übergehen nomem nm = Speicherprüfung übergehen hma hm = HMA-Prüfung erzwingen nohmem nh = UMB/HMA-Prüfung übergehen nosub ns = Unterverzeichnisse übergehen noautohr na = keine Anpassung d. heuristischen Empfindlichk. repeat rp = mehrere Disketten überprüfen batch ba = Batch-Modus (keine Anwendereingabe nötig) delete de = infizierte Dateien werden gelöscht log lo = Ausgabe in Protokolldatei append ap = Ausgabe an Protokolldatei anhängen expertlog el = keine heuristischen Beschreibungen in Protokolldatei aufnehmen logname =<Dateiname> ln = Pfad/Name der Protokolldatei loglevel =<0..4> ll = Protokoll-Level festlegen rename [=<ext-mask>] rn = infizierte Dateien umbenennen help (he) Wenn Sie dies Option aufrufen, wird TbScan die oben aufgeführte Liste der Startoptionen anzeigen. III - 9 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Pause (pa) Wenn Sie die Option 'pause' aufrufen, wird TbScan innehalten, nachdem der Inhalt eines Fensters überprüft wurde. Dadurch können Sie die Ergeb- nisse zu überprüfen, ohne die Protokolldatei anschauen zu müssen. mono (mo) Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb- emulierenden Schwarzweiß-Systemen verbessert werden. quick (qs) Wenn Sie diese Option verwenden, wird TbScan mittels der Anti-Vir.Dat- Dateien nach Dateien suchen, die sich seit dem letzten Scandurchlauf ver- ändert haben. Dateien, die sich verändert haben (CRC-Veränderung) oder noch nicht in die Anti-Vir.Dat-Datei aufgenommen sind, werden gescannt. allfiles (af) Diese Option veranlaßt TbScan auch zum Scannen der nicht-ausführbaren Dateien (Dateien ohne Erweiterung wie COM, EXE, SYS oder BIN). Sollte TbScan dabei herausfinden, daß eine solche Datei keine vom Prozessor aus- führbaren Anweisungen enthält, wird sie übersprungen. Andernfalls wird sie auf COM-, EXE- und SYS-Signaturen geprüft. Jedoch wird TbScan diese Dateien keiner heuristischen Analyse unterziehen. Da Viren keine nicht-ausführbaren Dateien befallen, ist es nicht nötig, diese zu scannen. Wir empfehlen Ihnen daher, diese Option nicht anzuwen- den, solange Sie keinen besonderen Grund haben, wirklich alle Dateien zu scannen. Nochmals: ein Virus muß ausgeführt werden, um das anzurichten, für das er hergestellt wurde. Da nicht-ausführbare Dateien nicht ausge- führt werden, kann ein Virus in einer solchen Datei auch keinen Schaden anrichten. Aus diesem Grund versuchen Viren nicht einmal, diese Dateien zu infizieren. heuristic (hr) Die zu überprüfenden Dateien werden von TbScan immer einer heuristischen Prüfung unterzogen. Allerdings meldet TbScan erst dann eine Infektion, wenn die Datei sehr wahrscheinlich infiziert ist. Wenn Sie die Option 'heuristic' verwenden, wird TbScan sozusagen 'sensibler'. Ohne daß für sie eine Signatur existiert, werden mit diesem Modus 90% aller neuen, unbekannten Viren entdeckt. Allerdings können auch einige Fehlalarme auftreten. Lesen Sie dazu Abschnitt 3.1. 'Die heuristische Suche' in diesem Kapitel. extract (ex) Diese Option steht nur registrierten Anwendern zu Verfügung. Schlagen Sie in Kapitel 'TbGensig' (IV-5) nach, um zu erfahren, wie Sie die Op- tion 'extract' anwenden können. once (oo) Wenn Sie diese Option aufgerufen haben, 'merkt sich' TbScan nach dem Scanvorgang, daß es an diesem Tag bereits aufgerufen wurde, und daß es am selben Tag mit dieser Option nicht nochmals gestartet werden darf. Diese III - 10 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Option ist äußerst nützlich, wenn Sie sie in Verbindung mit einer Listen- datei in Ihre AUTOEXEC.BAT integrieren: TbScan @Täglich.Lst once rename Nun wird TbScan alle Dateien und/oder Pfade, die in der Datei TÄGLICH.LST aufgeführt sind, während des ersten Bootvorgangs eines jeden Tages scannen. Sollte das System an diesem Tag noch öfter gebootet werden, wird sich TbScan sofort beenden. Die Option 'once' beeinträchtigt die normale Verwendung von TbScan keineswegs. Wenn Sie TbScan ohne die Option 'once' aufrufen, so wird das Programm immer arbeiten, und zwar unabhängig davon, ob Sie TbScan vorher bereits mit der Option 'once' gestartet hatten. Beachten Sie, daß TbScan 'once' unabhängig davon arbeitet, ob Sie an diesem Tag bereits einen normalen Scanvorgang durchgeführt haben. => Sollte es TbScan nicht möglich sein, in die TBSCAN.EXE-Datei zu schrei- ben, weil sie mit dem 'read-only'-Attribut versehen wurde oder sie sich auf einer schreibgeschützten Diskette befindet, so funktioniert die 'once'-Option nicht, und der Scanner wird arbeiten, ohne sie zu beachten. secure (se) Diese Option steht nur registrierten Anwendern zur Verfügung. Sobald Sie diese Option aufgerufen haben, kann TbScan nicht mehr durch Drücken von Strg-Pause (Ctrl-Break) abgebrochen werden. Es ist auch nicht möglich, auf die Fragen des Viren-Alarmfensters zu antworten. compat (co) Wenn Sie diese Option aufrufen, wird TbScan System-kompatibler arbeiten. Wenden Sie diese Option nur dann an, wenn das Programm nicht wie erwartet arbeitet oder sogar den Computer zum Stillstand bringt. Da diese Option die Scangeschwindigkeit vermindert, sollte Sie auch nur in solchen Fällen verwendet werden. An den Ergebnissen des Scannens ändert sich durch die Option 'compat' natürlich nichts. ignofile (in) Wurde diese Option verwendet und es kann keine Datei gefunden werden, so wird TbScan weder mit der Meldung 'keine ausführbaren Dateien gefunden' reagieren, noch mit dem Errorlevel 1 seine Arbeit beenden. Diese Option kann bei einer automatischen Inhaltsüberprüfung von Archiven nützlich sein. Sollte das Archiv keine ausführbaren Dateien enthalten, gibt TbScan dennoch keinen Errorlevel zurück. noboot (nb) Mit dieser Option scannt TbScan den Bootsektor nicht. nomem (nm) Wenn Sie diese Option verwenden, wird TbScan den Speicher Ihres Compu- ters nicht nach Viren durchsuchen. hma (hm) TbScan erkennt das Vorhandensein eines XMS-Treibers und überprüft auto- matisch die HMA (den oberen Speicherbereich). Sollten Sie mit einem HMA-Treiber arbeiten, der nicht mit dem XMS-Standard kompatibel ist, III - 11 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III dann können Sie durch die Option 'hma' TbScan veranlassen, die HMA auf jeden Fall zu überprüfen. nohmem (nh) TbScan erkennt und prüft entsprechend seinen Voreinstellungen den RAM- Speicher jenseits der DOS-Grenzen. Das bedeutet, daß der Bildschirm- speicher und die aktuellen EMS-Seiten normalerweise überprüft werden. Mit der Option 'nohmem' wird die voreingestellte Überprüfung des Nicht-DOS- Speichers abgeschaltet. nosub (ns) TbScan sucht normalerweise auch in den Unterverzeichnissen nach aus- führbaren Dateien, außer es wird ein Dateiname (Platzhalter sind zu- lässig) angegeben. Mit dieser Option können Sie das Durchsuchen der Unterverzeichnisse verhindern. noautohr (na) TbScan paßt die Empfindlichkeitsstufe der heuristischen Analyse auto- matisch an, sobald ein Virus gefunden wurde. Dies garantiert Ihnen maximale Suchleistung, wenn sie nötig ist, aber unter normalen Bedin- gungen möglichst wenige, durch die heuristische Analyse verursachte, Fehlalarme. Mit anderen Worten: sobald ein Virus entdeckt wurde, wird TbScan in der Annahme, daß noch weitere Dateien infiziert worden sind, so verfahren, als ob die Option 'heuristic' angegeben worden wäre. Wenn Sie das nicht wollen, müssen Sie die Option 'noautohr' benutzen. repeat (rp) Diese Option ist sehr nützlich, wenn Sie eine große Anzahl von Disketten scannen wollen. Nachdem eine Diskette überprüft worden ist, kehrt TbScan nicht einfach auf die DOS-Ebene zurück, sondern fordert Sie einfach auf, eine neue Diskette in das Laufwerk einzulegen. batch (ba) Wenn Sie diese Optio aktivieren sucht TbScan, ohne Meldungen am Bildschirm anzuzeigen. In diesem Fall sollte unbedingt eine Protokoll-Datei (LOG-File) verwendet werden. delete (de) Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender aufgefordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne weitere Eingriffe fortzufahren. Wenn Sie die Option 'delete' angegeben haben, wird TbScan Sie nicht länger fragen, was zu tun ist, sondern die infizierte Datei automatisch löschen. Benutzen Sie diese Option, wenn Sie sicher sind, daß Ihr Computer infiziert worden ist. Vergewissern Sie sich, daß Sie eine virenfreie Sicherheitskopie haben, und daß Sie alle infizierten Dateien auf einmal beseitigen wollen. log (lo) Mit dieser Option veranlassen Sie TbScan, eine Protokolldatei anzulegen. In dieser Protokolldatei werden alle infizierten Programmdateien aufge- führt, die Ergebnisse der heuristischen Suche in Großbuchstaben sowie die vollen Pfadnamen und - je nach 'loglevel' - die vollständige Meldung. append (ap) Durch diese Option überschreibt TbScan eine bestehende Protokolldatei nicht, sondern fügt die neuen Informationen an sie an. Sollten Sie mit III - 12 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III dieser Option häufig arbeiten, dann empfehlen wir Ihnen, die Protokoll- datei hin und wieder zu löschen oder sie zu verkürzen, um deren unkon- trolliertes Anwachsen zu verhindern. => Beachten Sie: die Option muß zusammen mit der Option 'log' benutzt expertlog (el) Wenn Sie diese Option benutzen, wird TbScan die ausführliche Beschreibung der heuristischen Meldungen in der Protokolldatei nicht mehr anzeigen. Die Beschreibung der heuristischen Flags finden Sie in ANHANG B. logname =<Dateiname> (ln) Mit der 'log'-Option können Sie den Namen der Protokolldatei angeben, die angelegt oder erweitert werden soll. Der vorgegebene Dateiname lautet TBSCAN.LOG und wird im aktuellen Verzeichnis erstellt. Um die Ergebnisse auszudrucken, können Sie anstelle eines Dateinamens einen Druckeranschluß angeben (logname=lpt1). => Beachten Sie: die Option muß zusammen mit der Option 'log' benutzt werden. loglevel =0..4 (ll) Mit der Option 'loglevel' legen Sie fest, welche Dateien in die Proto- kolldatei aufgenommen werden sollen. Vorgegeben ist Protokoll-Level 1. Sie können zwischen fünf Protokoll-Levels wählen: 0 Nur infizierte Dateien werden protokolliert. Falls keine infi- zierten Dateien gefunden werden, soll die Protokolldatei weder angelegt noch die bestehende verändert werden. 1 In die Protokolldatei wird eine Zusammenfassung und eine Zeitanga- be geschrieben. Nur infizierte Dateien sollen protokolliert werden. 2 Das gleiche wie unter 1, zusätzlich werden auch 'verdächtige' Da- teien aufgenommen. Verdächtig sind Dateien, die den heuristischen Alarm auslösen, wenn die Option 'heuristic' benutzt worden ist. 3 Das gleiche wie unter 2, aber alle Dateien, die mit einer Warnmel- dung angezeigt werden, werden auch aufgeführt. 4 Alle Dateien, die überprüft wurden, werden in der Protokolldatei aufgenommen. => Beachten Sie: die Option muß mit der Option 'log' kombiniert werden. rename [=<Ext-Maske>](re) Sobald TbScan einen Dateivirus gefunden hat, wird der Anwender aufge- fordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne weitere Eingriffe fortzufahren. Wenn Sie die Option 'rename' angegeben haben, wird TbScan den Anwender nicht länger fragen, was zu tun ist, sondern die infizierte Datei selbständig umbenennen. Dabei wird das erste Zeichen der Dateinamenserweiterung normalerweise durch den Buchstaben 'V' ersetzt. Eine .EXE-Datei wird also in .VXE und eine .COM-Datei in .VOM umbenannt. Durch diese Umbenennung verhindern Sie, daß die infizierten Dateien ausgeführt werden können und damit die Infektion weiter um sich greifen kann. Gleichzeitig können die infizierten Dateien für eine spätere Überprüfung und Wiederherstellung aufbewahrt werden. Sie können dieser Option auch einen Parameter hinzufügen, um die zu ver- gebende Dateinamenerweiterung selbst zu bestimmen. Dieser Parameter muß III - 13 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III drei Buchstaben enthalten. Fragezeichen als Platzhalter sind zulässig. Die voreingestellte Dateinamenerweiterung ist 'V??'. Beispiele: TbScan c:\ noboot Alle ausführbaren Dateien im Hauptverzeichnis sowie seiner Unterver- zeichnisse werden überprüft. Die Bootsektorprüfung wird übergangen. TbScan \*.* Alle Dateien im Hauptverzeichnis werden überprüft, Unterverz. nicht. TbScan c:\ log logname=c:\test.log loglevel=2 Es werden alle ausführbaren Dateien in Laufwerk C: überprüft. Eine Protokolldatei mit der Bezeichnung c:\test.log wird erstellt. Die Pro- tokolldatei wird alle infizierten und verdächtigen Dateien enthalten. TbScan \ log logname=lpt1 TbScan wird das Hauptverzeichnis samt Unterverzeichnissen prüfen. Die Ergebnisse werden zum Drucker umgeleitet und nicht in die Protokoll- datei ausgegeben. 1.4. Der Scan-Vorgang Wählen Sie 'Start scanning' im TbScan-Menü oder starten Sie TbScan von der DOS-Befehlszeile aus. Der Scan-Vorgang beginnt sofort. +-----------------------------------------------------------------+ |Thunderbyte virus detector v6.07 - (C) 1989-93, Thunderbyte B.V. | | | | TBAV wird alle zwei Monate aktualisiert. Alle registrierten An- | | wender erhalten kostenlosen Hotline-Support über Telefon, Fax u.| | Mailboard. Lesen Sie die umfassenden Dokumentationsdateien für | | detailierte Informationen. BBS: +31- 85- 212 395 | | C:\DOS\ | | ** Unregistered evaluation version. Don't forget to register! **| | | | ANSI.SYS scanning..> OK signatures: 986 | | COUNTRY.SYS skipping..> OK | | DISKCOPY.COM tracing...> OK file system: OWN | | DISPLAY.SYS scanning..> OK | | DRIVER.SYS scanning..> OK directories: 01 | | EGA.CPI skipping..> OK total files: 17 | | FASTOPEN.EXE looking...> OK executables: 12 | | FDISK.EXE looking...> OK CRC verified: 10 | | FORMAT.COM tracing...> E OK changed files: 00 | | GRAFTABL.COM tracing...> OK infected items: 00 | | GRAPHICS.COM tracing...> OK | | GRAPHICS.PRO skipping..> OK elapsed time: 00:05 | | Kb /second: 57 | | | +-----------------------------------------------------------------+ III - 14 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III TbScan unterteilt den Bildschirm in drei Fenster: in ein Informations- Fenster, ein Scan-Fenster und ein Status-Fenster. Das oberste Fenster ist das Informations-Fenster, das Ihnen zu Beginn die Kommentare aus der ver- wendeten Daten-Datei zeigt. Während des Scannens Sollte TbScan infizierte Dateien finden, so werden Virus- und Dateiname im oberen Fenster angezeigt. Die Informationen werden angesammelt und aus dem Sichtbereich gerollt, wenn mehr Meldungen angezeigt werden, als in dem Fenster Platz haben. Das linke, untere Fenster zeigt die Namen der Dateien an, die gerade be- arbeitet werden, den angewandten Algorithmus sowie abgekürzt Informatio- nen und Ergebnisse der heuristischen Analyse. In der letzten Spalte die- ses Fensters wird ein OK oder der Name des entdeckten Virus angezeigt. Beispiel: TEST.EXE <Scanning...> FR OK | | | | | | | Resultat des Scannens | | Ergebnis der heuristischen Analyse (Abk.) | Verwendeter Scan-Algorithmus Name der untersuchten Datei Nach jedem Dateinamen werden Meldungen wie diese erscheinen: 'Looking', 'Checking', 'Tracing', 'Scanning' oder 'Skipping'. Diese Meldungen be- ziehen sich auf die verschiedenen Algorithmen, mit denen die Dateien geprüft werden. Andere Meldungen, die TbScan hier anzeigen kann, sind die Ergebnisse der heuristischen Suche. Für weitere Informationen über diese abgekürzten Warnhinweise schlagen Sie bitte im Kapitel 1.3., 'Die heuristischen Flags' nach. Das rechte, untere Fenster ist das Status-Fenster. Hier werden Anzahl und Namen der abzuarbeitenden Dateien und die Anzahl der entdeckten Viren angezeigt. Auch das benutzte Dateisystem wird angezeigt: entweder 'DOS' oder 'OWN'. 'OWN' besagt, daß TbScan das Betriebssystem DOS umgeht, um alle Dateien mit direktem Zugriff zu lesen, um die Sicherheit und die Geschwindigkeit des Scannens zu erhöhen. Das Scannen kann mit Strg-Pause (Ctrl-Break) abgebrochen werden. Virenentdeckung Sobald ein infiziertes Programm entdeckt wurde, wird der Name des Virus angezeigt. Sollten Sie keine der Optionen 'batch', 'rename' oder 'delete' verwendet haben, so wird TbScan Sie fragen, ob die infizierte Datei umbe- nannt oder gelöscht werden soll oder ob einfach fortzufahren ist. Wenn Sie die Datei umbenennen, wird der erste Buchstabe der Dateinamenser- weiterung durch ein 'V' ersetzt. Mit dieser 'Umbenennung' verhindern Sie, III - 15 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III daß die Datei aus Versehen ausgeführt wird, noch bevor eine gründliche Analyse vorgenommen werden konnte. Entdeckt TbScan eine infizierte Datei, so erscheint eine der folgenden Meldungen am Bildschirm: infiziert von [Name des Virus] Die Datei wurde von dem genannten Virus infiziert. Schlepper von [Name des Virus] Ein 'Schlepper' ist ein Programm, das selbst nicht infiziert ist, aber einen Bootsektorvirus enthält, den es in Ihrem Bootsektor installieren kann. zerstört von [Name des Virus] Einige Viren beschädigen Dateien. Die beschädigte Datei enthält selbst - im Gegensatz zu einer infizierten Datei - keinen Virus, wurde aber von einem Virus beschädigt. überschrieben von [Name des Virus] Manche Viren überschreiben Dateien. Die überschriebene Datei enthält selbst - im Gegensatz zu einer infizierten Datei - keinen Virus, wurde aber mit unsinnigem Inhalt überschrieben. Trojanisches Pferd namens [Name des Trojanischen Pferdes] Die Datei ist ein Trojanisches Pferd. Führen Sie das Programm nicht aus, sondern löschen Sie es. Ein Witzprogramm namens [Name des Witzprogramms] Es gibt Programme, die eine Vireninfektion vortäuschen. Ein 'Witzprogramm' ist jedoch vollkommen harmlos. Es kann vorkommen, daß TbScan auf eine Datei stößt, die infiziert zu sein scheint, obwohl aber keine Signatur gefunden werden kann. In einem solchen Fall stellt TbScan der Virenmeldung ein 'wahrscheinlich' voran. Programme zulassen Entdeckt TbScan eine Datei die er als verdächtig einstuft und darauf ein Alarmfenster öffnet, haben Sie die Möglichkeit, künftige Fehl-Alarme durch Eingabe von 'V' (Validate program = Programm zulassen) zu unter- binden. Beachten Sie, daß dies nur funktioniert, sofern ein entspre- chender Datensatz zu dieser Datei in der Anti-Vir.Dat vorhanden ist. Wurde ein Programm zugelassen, bleibt es künftig von der heuristischen Analyse ausgeschlossen. Wird eine Datei jedoch hinterher verändert (wie im Falle einer Vireninfektion) ändert sich auch die Checksumme in der Anti-Vir.Dat-Datei, und die Infektion wird erkannt. => Beachten Sie: Ein Programm, das zugelassen wurde, wird bei der normalen Signaturensuche nicht übergangen. III - 16 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Heuristische Suche Haben Sie die Option 'heuristic' angegeben, ist es leicht möglich, daß TbScan Dateien findet, die wie ein Virus aussehen. In diesem Fall ver- wendet TbScan als Meldungspräfix den Ausdruck 'Möglicherweise', um Sie hierüber zu informieren. TbScan zeigt dann eine der folgenden Meldungen: Wahrscheinlich infiziert von einem unbekannten Virus (Level 1) oder: Möglicherweise infiziert von einem unbekannten Virus (Level 2) Das bedeutet jedoch nicht unbedingt, daß die Datei infiziert ist. Es gibt viele Dateien, die Viren ähnlich sehen aber keine sind. => Die heuristischen Levels sind im Kapitel IV (Seite 9) erklärt. Falscher Alarm => Wichtig! Falsche Alarme sind beim heuristischen Scannen unvermeidlich. Im vorein- gestellten Modus ist es sehr unwahrscheinlich, daß TbScan einen Fehl- alarm auslöst. Sollten Sie jedoch die Option 'heuristic' verwendet haben, können einige Fehlalarme vorkommen. Wie soll mit diesem Fehlalarm umge- gangen werden? Glaubt TbScan einen Virus entdeckt zu haben, so werden Sie über den Grund dieses Verdachts informiert. In den meisten Fällen können Sie die Begründungen beurteilen, indem Sie sich über den Zweck der bean- standeten Datei klar werden. Denken Sie immer daran, daß Viren andere Programme infizieren. Daher ist es höchst unwahrscheinlich, daß Sie lediglich ein paar infizierte Datei- en auf einer Festplatte finden, mit der regelmäßig gearbeitet wird. So- lange die heuristische Analyse nur wenige Dateien als infiziert entdeckt, sollten Sie dieses Ergebnis ignorieren. Aber wenn sich Ihr Computer unge- wöhnlich verhält und mehrere Programme von TbScan mit denselben ernsten Meldungen beanstandet werden, ist es sehr wahrscheinlich, daß eine In- fektion mit einem (bisher unbekannten) Virus vorliegt. Heuristische Flags Die Ergebnisse der heuristischen Suche werden abgekürzt als einzelne Buchstaben dargestellt, die hinter den Dateinamen geschrieben werden, sobald die Datei bearbeitet wurde. Es gibt zwei Arten von Abkürzungen: die informierenden werden in Kleinbuchstaben, die ernsten in Großbuch- staben angegeben. Die Kleinbuchstaben weisen auf bestimmte Eigenschaften der bearbeiteten Datei hin, während die Warnungen in Großbuchstaben ge- gebenenfalls einen Virus melden. Wenn der 'loglevel' 3 oder höher ist, werden nicht nur die Warnungen als Großbuchstaben angezeigt, sondern es wird außerdem eine ausführliche Beschreibung in die Protokolldatei geschrieben. Wie soll mit den Meldungen der heuristischen Suche umgegangen werden? III - 17 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Die weniger wichtigen Meldungen in Kleinbuchstaben haben den Zweck, Sie zu informieren. Sie liefern Ihnen Dateiinformationen, die für Sie inter- essant sein können. Die wesentlich ernsteren Meldungen in Großbuchstaben, KÖNNTEN auf einen Virus hinweisen. In Ihrem System gibt es jedoch ziem- lich sicher einige Dateien, die eine ernste Großbuchstaben-Meldungen hervorrufen. Die Beschreibung der heuristischen Flags finden Sie in ANHANG B. 2. TbScanX 2.1. Der Zweck von TbScanX Es wurden bisher schon viele Virenscanner entwickelt. Das Problem mit all diesen Scannern ist, daß man Sie ausführen muß. Man kann beispielsweise ihren Aufruf in die autoexec.bat einfügen, um immer beim Einschalten des Computers alle Programme überprüfen zu lassen. Werden dabei keine Viren gefunden, wird angenommen, daß kein Virus das System befallen hat. Um aber sicher zu sein, daß der Computer nicht durch einen Virus infiziert werden kann, müßte man den Scanner bei jedem Kopieren eines Programms auf die Festplatte, bei jedem Laden einer Datei aus einer Mailbox und bei jedem Entpacken eines Programms von einer Archiv-Datei starten. Ganz ehrlich: Rufen Sie jedesmal den Virenscanner auf, wenn ein neues Programm auf Ihrem Rechner hinzugefügt wird? Wenn nicht, riskieren Sie, daß in wenigen Stunden alle Dateien von einem Virus infiziert sein können... Wurde TbScanX gestartet, bleibt das Programm resident im Speicher und scannt AUTOMATISCH alle Dateien, die Sie ausführen, alle ausführbaren Dateien, die kopiert oder erstellt werden, die aus einer Mailbox ge- laden werden, die verändert oder aus einem Archiv dekomprimiert werden! Die gleiche Methode wird gegen Bootsektorviren eingesetzt: Immer wenn eine Diskette in ein Laufwerk gesteckt wird, wird deren Bootsektor gescannt. Sollte die Diskette von einem Bootsektorvirus infiziert sein, warnt TbScanX Sie rechtzeitig! TbScanX ist voll Netzwerk-kompatibel. Es ist nicht nötig, den Scanner nach dem Einloggen ins Netz nochmals zu laden. 2.2. Benutzung von TbScanX Es wird empfohlen, TbScanX automatisch starten zu lassen. Dazu sollte es in die config.sys oder die autoexec.bat aufgenommen werden. Es ist wichtig, TbScanX so früh wie möglich nach dem Starten des Computers aufzurufen. Wir empfehlen daher den Aufruf von der config.sys aus. => Beachten Sie, daß TbDriver vor TbScanX geladen werden muß! Aufruf von TBScanX Es gibt drei verschiedene Möglichkeiten, um TbScanX aufzurufen: III - 18 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 1. von der DOS-Befehlszeile aus oder in der autoexec.bat: <Pfad>TbScanX 2. von der config.sys aus als speicherresidentes Programm (ab DOS 4.0): Install=<Pfad>TbScanX.Exe 3. von der config.sys aus als Gerätetreiber: Device=<Pfad>TbScanX.Exe => Der Aufruf von TbScanX als Gerätetreiber in der config.sys mit "device=" funktioniert nicht mit allen OEM-DOS-Versionen (von Computerherstellern veränderte DOS-Versionen). In diesem Fall versuchen Sie die Verwendung von "Install=" oder laden Sie TbScanX von der autoexec.bat aus. Anders als andere Anti-Viren-Programme können die Thunderbyte Anti- Viren-Programme geladen werden, bevor das Netzwerk gestartet wird, ohne den Schutz vor Viren im Netzwerk zu verlieren. Hochladen von TBScanX Zusätzlich zu den drei oben genannten Aufrufbeispielen besteht für Benutzer der DOS-Version 5.0 (und neuer) außerdem die Möglichkeit, TbScanX in den UMB (Upper Memory Block) zu laden. Verwenden Sie zum Programmaufruf in der autoexec.bat: LoadHigh <Pfad>TbScanX.Exe In der config.sys wird entsprechend der folgende Aufruf verwendet: DeviceHigh=<Pfad>TbScanX.Exe TbScanX und MS-Windows Benutzer von MS-Windows sollten TbScanX starten, bevor Windows ge- startet wird. In diesem Fall befindet sich TbScanX nur einmal im Speicher, aber jedes DOS-Fenster hat trotzdem den vollen Nutzen des Programms. TbScanX stellt den Start von Windows fest und schaltet sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem DOS-Fenster kann TbScanX abgeschaltet werden, ohne die Funktion des Programms in den anderen DOS-Fenstern zu beeinflussen. 2.3. Startoptionen TbScanX kann von der Befehlszeile aus konfiguriert werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn TbScanX noch nicht speicherresident geladen ist. III - 19 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Option Abk. Erklärung ------ ---- ------------------------------------- help ? =Zeigt Hilfetext off d =Schaltet Scannen ab on e =Schaltet Scannen ein remove r =Entfernt TbScanX aus dem Speicher noexec n =Beim Ausführen nie Scannen allexec a =Beim ausführen immer Scannen noboot b =Bootsektor nicht scannen ems me =Verwendung von Expanded Memory (EMS) xms mx =Verwendung von Extended Memory (XMS) secure s =Zugriff ohne nachzufragen verweigern lock l =PC anhalten, wenn ein Virus entdeckt wurde compat c =Kompatibilität erhöhen help (?) Die Option help (abgekürzt mit "?") bewirkt die Anzeige eines Hilfe- textes. Wurde TbScanX bereits speicherresident geladen, werden nur noch die dann verfügbaren Optionen angezeigt. off (d) Wenn Sie die Option off (abgekürzt mit "d") verwenden, so wird TbScanX vorübergehend abgeschaltet, aber bleibt weiter speicherresident ge- laden. on (e) Wurde TbScanX mit der Option off abgeschaltet, so kann es mit der Option on (abgekürzt "e") wieder angeschaltet werden. remove (r) Wurde TbScanX bereits speicherresident geladen, so kann es durch den Aufruf von TbScanX mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbScanX geladen, so könnte die Entfernung des Programms aus dem Speicher große Probleme verursachen. TbScanX erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. compat (c) In den meisten Fällen arbeitet TbScanX ohne Probleme. Es ist jedoch möglich, daß sich ein anderes speicherresidentes Programm nicht mit TbScanX verträgt. Wenn das andere TSR-Programm zuerst geladen wird, entdeckt TbScanX normalerweise den Konflikt und verwendet einen anderen Interrupt. Wenn das andere TSR-Programm nach TbScanX geladen wird und sich mit der Meldung, daß es schon installiert sei, beendet, können Sie beim ersten Starten von TbScanX die Option 'compat' verwenden. Es ist ebenfalls möglich, daß TbScanX sich mit anderen TSR-Programmen nicht verträgt, wenn diese EMS oder XMS benutzen. In diesem Fall hängt sich der Computer auf. Die Option 'compat' kann auch dieses Problem lösen, allerdings kann das häufige Speicherauslagern die Geschwindigkeit von TbScanX verringern. III - 20 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III noexec (n) TbScanX scannt normalerweise Dateien, die sich auf einem wechselbaren Datenträger (also Disketten) befinden, in dem Moment, bevor sie ausge- führt werden sollen. Wenn Sie das nicht wollen, können Sie mit der Option 'noexec' diese Art der Überprüfung ganz abstellen. allexec (a) TbScanX scannt normalerweise auszuführende Programme nur auf wechselbaren Datenträgern. Programme auf der Festplatte werden normalerweise nicht überprüft, da sie ja bereits beim Kopieren oder Downloaden auf die Fest- platte automatisch von TbScanX gescannt worden sein müßten. Wenn Sie alle Programme vor ihrem Starten überprüft haben möchten, egal ob sie sich auf Festplatte oder auf einer Diskette befinden, können Sie die Option 'allexec' verwenden. noboot (b) TbScanX überwacht die Diskettenlaufwerke: Immer wenn der Bootsektor ge- lesen wird, scannt TbScanX ihn, um Bootsektorviren aufzuspüren. Wenn Sie eine Diskette wechseln, versucht DOS als erstes den Bootsektor zu lesen, um herauszubekommen, welcher Diskettentyp eingelegt worden ist. Und sobald DOS den Bootsektor liest, überprüft TbScanX ihn auf Viren. Wenn Sie diese Arbeitsweise nicht wollen oder sie Probleme verursacht, können Sie sie mit der Option 'noboot' abschalten. Wenn Sie diese Option verwenden, benötigt TbScanX weniger Speicherplatz, da die Signaturen der Bootsektorviren nicht in den Speicher geladen werden müssen. secure (s) TbScanX fragt normalerweise den Anwender, ob die Verarbeitung fortgesetzt oder abgebrochen werden soll, wenn es einen Virus entdeckt. In manchen beruflichen Umgebungen sollte diese Entscheidung nicht den Angestellten überlassen werden. Durch die Verwendung der Option 'secure' ist es nicht länger möglich, verdächtige Operationen fortzusetzen. lock (l) Wenn Sie der Betreuer von Computern sind, können Sie die Option 'lock' benutzen, um den Computer von TbScanX anhalten zu lassen, wenn es einen Virus entdeckt hat. ems (me) Wenn Sie die Option 'ems' verwenden, benutzt TbScanX Expanded Memory, wie er von LIM/EMS-Speichererweiterungskarten oder von 386-Speicher- Managern zur Verfügung gestellt wird, um dort die Signaturen und einen Teil des Programmcodes zu speichern. Expanded Memory wird in 16 KByte- großen Blöcken belegt. Da der konventionelle Hauptspeicher für Ihre Programme von größerem Nutzen ist als das Expanded Memory, ist die Benutzung des EMS-Speichers zu empfehlen. TbScanX kann bis zu 64 KByte EMS-Speicher belegen. xms (mx) Mit der Option 'xms' weisen Sie TbScanX an, die Signaturen und Teile des Programmcodes in das Extended Memory zu laden. Ein Erweiterungsspeicher- Manager, wie beispielsweise HIMEM.SYS muß installiert werden, um die Option 'xms' verwenden zu können. Auf XMS-Speicher kann von DOS aus nicht direkt zugegriffen werden, so daß die Signaturen für jedes Scannen in den III - 21 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III konventionellen Speicher kopiert werden müssen. Um den Originalinhalt des Speichers zu sichern, braucht TbScanX daher die doppelte Menge an XMS-Speicher. Das Speicherauslagern ist bei XMS-Speicher langsamer als bei EMS-Speicher, so daß dem EMS-Speicher (sofern vorhanden) der Vorzug zu geben ist, Es könnte sein, daß das Auslagern von XMS-Spei- cherbereichen Konflikte mit anderen Programmen verursacht. Falls Probleme auftreten, sollten Sie TbScanX ohne die 'xms'-Option aufrufen. TbScanX kann etwa 2*50 KByte Extended Memory benutzen. Beispiel: Device=C:\utils\TbScanX.Exe xms noboot 2.4. Der Scan-Vorgang Jedesmal, wenn ein Programm versucht in eine ausführbare Datei (also eine Datei mit einer Dateinamenerweiterung .com oder .exe) zu schreiben, ist der Text "*Scanning*" in der linken oberen Bildschirmecke zu sehen, bis TbScanX das Scannen abgeschlossen hat. Da TbScanX jedoch für das Scannen nur sehr wenig Zeit benötigt, erscheint die Meldung nur sehr kurz. Der Text "*Scanning*" erscheint ebenfalls, wenn ein Programm direkt von einer Diskette aus gestartet wird, und wenn DOS auf den Bootsektor eines Diskettenlaufwerks zugreift. Entdecken von Viren Wenn TbScanX entdeckt, daß eine Virensignatur in eine Datei geschrieben wird, so erscheint eine Meldung am Bildschirm: +-----Unterbrechung durch TBAV-----+ | WARNING! | |TbScanX entdeckte, daß <Dateiname>| |infiziert ist durch | |(Name des Virus) | |Abbrechen? (Y/N) | +----------------------------------+ Drücken Sie die Taste "N" um fortzufahren, jede andere Taste um den Vor- gang abzubrechen. Entdeckt TbScanX eine Signatur in einem Bootsektor, erscheint folgende Meldung: +-------Unterbrechung durch TBAV------+ | WARNUNG! | |TbScanX entdeckte, daß der Bootsektor| |des Laufwerks <Lw>: infiziert ist | |durch (Name des Virus) | |Booten Sie NICHT von diesem Laufwerk!| +-------------------------------------+ Auch wenn ein Virus im Bootsektor des genannten Laufwerks zu sein scheint, so kann er jedoch nichts tun, bis er ausgeführt wird. Erst III - 22 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III wenn Sie Ihren Computer mit einer solchen infizierten Diskette booten, überträgt sich der Virus auf Ihre Festplatte. Um den Namen des Virus anzugeben, benötigt TbScanX noch einmal die Signa- turendatei. Wenn die Signaturendatei fehlt (wenn sie gelöscht ist, oder Sie die Diskette mit ihr aus dem Laufwerk genommen haben), oder keine weiteren Dateien mehr geöffnet werden können ('files=' in config.sys), entdeckt TbScanX auch weiterhin Viren, nur kann es deren Namen nicht mehr angeben. Es zeigt statt dessen [Name unbekannt] an. 3. TbCheck 3.1. Der Zweck von TbCheck TbCheck überprüft die Unversehrtheit von Programmdateien. Das Programm verwendet dabei die der Datei Anti-Vir.Dat gespeicherten Informationen, die von TbSetup erzeugt wurden. Diese Informationen enthalten Angaben über die Größe und die Prüfsumme jeder einzelnen Programm-Datei. Durch Vergleichen der abgespeicherten Daten mit den aktuellen können alle Veränderungen an den überprüften Dateien festgestellt werden. Auf diese Weise können auch durch Viren-Infektion verursachte Veränderungen be- merkt werden. Angenommen Sie verwenden einen gewöhnlichen Integritätsprüfer, dessen Aufruf Sie in die Autoexec.Bat eingefügt haben, um immer beim Einschalten des Computers alle Programme überprüfen zu lassen. Wurden keine Pro- grammveränderungen festgestellt, so scheint Ihr Computer nicht von Viren infiziert zu sein. Um aber sicher zu sein, daß kein Virus den Computer befallen hat, muß der Test immer wieder durchgeführt werden. Wurde hingegen TbCheck aufgerufen, bleibt es resident im Speicher und überprüft nun automatisch all jene Programme, die gestartet werden sollen. TbCheck ist voll Netzwerk-kompatibel. Ein erneuter Aufruf nach dem Ein- loggen ins Netz ist nicht nötig. 3.2. Benutzung von TbCheck Wir empfehlen Ihnen, TbCheck automatisch starten zu lassen. Dazu sollte es in die config.sys oder die autoexec.bat aufgenommen werden. Es ist wichtig, TbCheck so früh wie möglich nach dem Starten des Computers aufzurufen, am besten also von der config.sys aus. => Stellen Sie sicher das TbDriver bereits geladen ist - TbCheck kann sonst nicht gestartet werden. Aufruf von TBCheck Es gibt drei verschiedene Möglichkeiten, um TbCheck aufzurufen: 1. von der DOS-Befehlszeile aus oder in der autoexec.bat: <Pfad>TbCheck III - 23 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 2. von der config.sys aus als speicherresidentes Programm (ab DOS 4.0): Install=<Pfad>TbCheck.Exe Der Befehl "Install=" in der config.sys steht in den DOS-Versionen vor der DOS-Version 4.0 nicht zur Verfügung. 3. von der config.sys aus als Gerätetreiber: Device=<Pfad>TbCheck.Exe Der Aufruf von TbCheck als Gerätetreiber in der config.sys mit "device=" funktioniert nicht mit allen OEM-DOS-Versionen (von Computerherstellern modifizierte DOS-Versionen). In diesem Fall versuchen Sie "Install=" einzusetzen oder laden Sie TbCheck von der autoexec.bat aus. Anders als andere Anti-Virus-Programme können die Thunderbyte Anti- Virus-Programme geladen werden, bevor das Netzwerk gestartet wird, ohne den Schutz vor Viren im Netzwerk zu verlieren. Hochladen von TbCheck Zusätzlich zu den drei oben genannten Aufrufbeispielen besteht für Benutzer der DOS-Version 5.0 (und neuer) außerdem die Möglichkeit, TbCheck in den UMB (Upper Memory Block) zu laden. Verwenden Sie zum Programmaufruf in der autoexec.bat: LoadHigh <path>TbCheck.Exe Von der Config.Sys aus kann TbCheck ebenfalls hochgeladen werden: DeviceHigh=<path>TbCheck.Exe TbCheck und MS-Windows Benutzer von MS-Windows sollten TbCheck starten, bevor Windows ge- startet wird. In diesem Fall befindet sich TbCheck nur einmal im Speicher, aber jedes DOS-Fenster hat trotzdem den vollen Nutzen des Programms. TbCheck stellt den Start von Windows fest und schaltet sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem DOS-Fenster kann TbCheck abgeschaltet werden, ohne die Funktion des Programms in den anderen DOS-Fenstern zu beeinflussen. 3.3. Startoptionen In der Befehlszeile können beim Programmaufruf Optionen angegeben werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn TbCheck noch nicht speicherresident geladen ist. III - 24 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Option Parameter Abk. Erklärung ------ --------- ---- ---------------------------- help ? =Zeigt Hilfetext off d =Schaltet Überprüfung ab on e =Schaltet Überprüfung an remove r =Entfernt TbCheck aus dem Speicher noavok [=<Laufw.>] o =Ignoriert das Fehlen von Anti-Vir-Daten fullcrc f =Überprüfung der ganzen Dateien (langsam!) secure s =Unbekannte oder veränderte Programme abbrechen help (?) Mit dieser Option zeigt TbCheck die oben abgebildete Optionen-Liste an. off (d) Deaktiviert TbCheck, das Programm verbleibt aber im Speicher und kann wieder reaktiviert werden. on (e) TbCheck kann damit wieder aktiviert werden, nachdem es mit der 'off'- Option abgeschaltet wurde. remove (r) Wurde TbCheck bereits speicherresident geladen, so kann es durch den Aufruf von TbCheck mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbCheck geladen, so würde die Entfernung des Programms aus dem Speicher große Probleme verursachen. TbCheck erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. noavok (o) TbCheck zeigt eine Meldung an, wenn es bei der Überprüfung eines Pro- gramms in der Datei Anti-Vir.Dat keine Informationen findet, oder wenn diese Datei nicht vorhanden ist. Dies dient dazu, davor zu warnen, wenn die Datei Anti-Vir.Dat vielleicht in böser Absicht gelöscht wurde oder jemand ein neues Programm auf Ihrem Computer installiert hat. Auch wenn es empfehlenswert ist, Anti-Vir.Dat-Dateien auf allen Laufwer- ken anzulegen, so ist dies nicht immer sinnvoll bzw. möglich. So etwa auf Disketten, RAM-Disks und auf CD-ROM. Mit der Option noavok (abge- kürzt "o") kann das Anzeigen der Meldung, daß keine Anti-Vir.Dat-Infor- mationen gefunden wurden, für ganze Laufwerke verhindert werden. Soll die Warnmeldung für Überprüfungen auf den Diskettenlaufwerken A: und B: und auf der RAM-Disk E: nicht mehr angezeigt werden, so ist die Option wie folgt anzugeben: "NoAvOk=ABE". Wird die Option noavok ohne die Nennung von Laufwerken angegeben, werden alle Meldungen über fehlende anti-vir.dat-Informationen unterdrückt. => Bedenken Sie, daß dies ein Sicherheitsrisiko darstellt: Löscht ein Virus III - 25 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III die Datei Anti-Vir.Dat, erhalten Sie keine Warnungen mehr über weitere Infektionen. => Die Option noavok verhindert nicht die Überprüfung der aufgerufenen Programme. Wenn Informationen verfügbar sind, wird bei der Feststellung von Veränderungen an der Programmdatei weiterhin eine Alarmmeldung aus- gegeben. fullcrc (f) Normalerweise überprüft TbCheck Programmdateien nur in der Nähe des Einsprungpunktes, da Viren sich beim Infizieren eines Programms immer in diesem Bereich durch Veränderungen bemerkbar machen. Es reicht für die Suche nach Viren also völlig aus, nur diesen Bereich zu überprüfen. Manche Programme speichern interne Informationen am Ende der Programm- datei ab. Diese Veränderungen führen normalerweise nicht zum Alarm. Soll aus irgendeinem Grund eine volle Überprüfung der gesamten Datei erfolgen, so kann dies mit der Option fullcrc (abgekürzt "f") veranlaßt werden. Bedenken Sie, daß dies die Überprüfung bemerkbar verlangsamen kann. Diese Option wird für den normalen Gebrauch der Viren-Überwachung nicht empfohlen! secure (s) Wenn eine Datei verändert wurde oder keine anti-vir.dat-Informationen vorliegen, fragt TbCheck normalerweise den Benutzer ob der Programmstart abgebrochen werden soll, oder ob das Programm starten darf. Mit der Option secure (abgekürzt "s") kann verhindert werden, daß Unbefugte neue oder unbekannte Programme auf einem Computer starten können. Die Ausführung veränderter oder unbekannter Programme wird ohne Auswahl- möglichkeiten abgebrochen. 3.4. Während der Überprüfung Jedesmal, wenn ein Programm, also eine Datei mit der Erweiterung .COM oder .EXE gestartet werden soll, prüft TbCheck, ob dieser Aufruf zu- lässig ist. Für kurze Zeit erscheint in der oberen linken Ecke des Bild- schirms der Text "*Checking*". Während der gesamten Überprüfung ist diese Meldung zu sehen. Da TbCheck sehr schnell arbeitet, werden Sie diese Meldung nur kurze Zeit sehen. Feststellen von Datei-Veränderungen TbCheck überprüft ein aufgerufenes Programm in sehr kurzer Zeit. Werden dabei Änderungen an der überprüften Programmdatei feststellt, erscheint ein Fenster auf dem Bildschirm, das eine Meldung in Ihrer Sprache an- zeigt. Sie können dann wählen, ob Sie den Programmaufruf abbrechen oder das aufgerufene Programm starten lassen wollen. Wenn in der Datei anti-vir.dat keine Informationen über das zu über- prüfende Programm vorliegen, so informiert Sie TbCheck auch hierüber. Sie können in diesem Fall den Programmaufruf abbrechen, oder das Programm ohne Überprüfung starten lassen. III - 26 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 3.5. TbCheck testen Natürlich würden Sie dieses Programm, das Sie nun benutzen, gerne einmal testen. Anders als etwa ein Textverarbeitungsprogramm ist TbCheck nur sehr schwierig zu testen. Wenn Sie zum Beispiel 25 zufällige Bytes eines Programms verändern, so ist es sogar wahrscheinlich, daß TbCheck keine Veränderungen feststellt. TbCheck untersucht standardmäßig nur den von Viren immer veränderten Einsprungbereich des Programms, und die Wahr- scheinlichkeit, daß Sie mit Ihren Veränderungen genau diesen Bereich treffen, ist sehr gering. 4. TbClean 4.1. Der Zweck von TbClean TbClean ist ein Programm, mit dessen Hilfe Viren aus infizierten Dateien entfernt werden können. Nachdem der Virus entfernt wurde, kann das Pro- gramm wie zuvor benutzt werden, ohne daß ein Risiko besteht, daß andere Dateien infiziert oder beschädigt werden könnten. Konventionelle Virenbeseitigung TbClean arbeitet vollkommen anders als konventionelle Virenbeseitiger. Das Wichtigste dabei ist, daß TbClean im Gegensatz zu diesen herkömm- lichen Programmen keine Viren kennen muß. Die Virenbeseitigung wird mit einer völlig anderen Methode durchgeführt, die mit jedem Virus zurecht- kommt - auch unbekannten. TbClean kann Viren mit zwei verschiedenen Verfahren entfernen: einem wiederherstellenden und einem heuristischen. Keine Informationen verfügbar? Bei der heuristischen Virenbeseitigungsmethode benötigt TbClean keinerlei Informationen über den Virus und auch keine Informationen über das Pro- gramm in seinem ursprünglichen Zustand. Diese Methode ist besonders dann hervorragend, wenn Ihr Computer von einem unbekannten Virus befallen wur- de, und Sie versäumt haben, mit TbSetup Anti-Vir.Dat-Dateien zu erstellen. Bei heuristische Virenbeseitiung lädt TbClean die infizierte Datei und emuliert dabei den Programmcode, um herauszufinden, welcher Teil des Pro- grammcodes zur Originaldatei gehört und welcher zum Virus. Das Ergebnis wird dann als erfolgreich bewertet, wenn die Funktionsfähig- keit des Originalprogramms wieder vollkommen hergestellt ist, und die Funktionstüchtigkeit des Virus vollständig zerstört wurde. => Beachten Sie, daß das nicht bedeutet, daß die desinfizierte Datei der Originaldatei 100%ig entspricht. Wenn das Programm von TbClean mit der heuristischen Methode desinfiziert wurde, wird die Datei höchstwahrscheinlich mit dem ursprünglichen Zustand nicht vollkommen übereinstimmen. Dies ist weder ein Anzeichen für das III - 27 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Versagen von TbClean, noch bedeutet es, daß die Datei immer noch infi- ziert wäre. Es ist ganz normal, wenn die heuristisch bearbeitete Datei größer ist, als das Original. TbClean versucht kein Risiko einzugehen und will verhindern, daß zuviel aus der Datei gelöscht wird. Die Bytes, die am Ende der Datei stehengelassen werden, sind 'toter' Code, da diese Instruktion nie wieder ausgeführt werden können, nachdem der Sprung zu ihnen am Anfang der Datei entfernt wurde. Sollte es sich bei der bereinigten Datei um eine EXE-Datei handeln, so dürften sich einige Bytes am Programmbeginn - im Exe-Programmkopf - ge- ändert haben. Es gibt mehrere brauchbare Lösungen, den Exe-Programmkopf zu rekonstruieren, und TbClean kann den ursprünglichen Programmzustand natürlich niemals kennen. Die Funktionsfähigkeit der wiederhergestellten Datei ist selbstverständlich die gleiche. => Beachten Sie, daß sich dies nur auf die heuristische Methode der Virenbe- seitigung bezieht. Wenn die notwendigen Informationen in der Anti- Vir.Dat-Datei verfügbar gewesen sind, so wird das desinfizierte Programm normalerweise mit der virenfreien Original-Datei vollkommen überein- stimmen. Es ist möglich, daß die infizierte Datei von mehreren Viren oder mehreren Instanzen des gleichen Virus infiziert worden ist. Manche Viren infizie- ren ein und dieselbe Datei immer wieder, wodurch diese natürlich immer größer wird. Sollte TbClean mit der heuristischen Methode gegen den Virus vorgegangen sein, dann ist es sehr wahrscheinlich, daß nur eine Instanz des Virus gelöscht wurde. In diesem Fall muß der Virenbeseitigungsvorgang unbedingt so oft wiederholt werden, bis Ihnen TbClean meldet, daß nichts weiter gelöscht werden kann. 4.2. Benutzung von TbClean Nachdem Sie einen oder mehrere Viren ausfindig gemacht haben, ist alles was Sie zu tun haben, die 'Start cleaning'-Option im TbClean-Menü auszu- wählen. Nachdem Sie die betreffenden Dateinamen angegeben haben, startet TbClean. Zuvor gestattet TbClean die Angabe zusätzlicher Parameter. Diese werden im folgenden besprochen. Das TbClean-Menü Sie können TbClean in Verbindung mit einigen nützlichen Parametern, welche im TbClean-Menü aufgelistet sind, ausführen. Sie können diese Parameter aktivieren, indem Sie den Cursorbalken auf die entsprechende III - 28 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Zeile bewegen und Ihre Wahl mit <Enter> bestätigen. Eine kleine Marke zeigt Ihnen, das der entsprechende Parameter aktiviert ist. +----Main menu-----+ | Confi+-----TbClean menu-----+ | TbSet| Start cleaning | | TbSca| List-file name | | TbUti| Use TBAV.INI file | | TbCLe| Prompt for pause | | TBAV |v Use Anti-Vir.Dat | | Docum|v Expanded memory | | Quit | Show program loops | | eXit | Make list file | +-------+----------------------+ List-file name Wenn Sie diese Option wählen, müssen Sie den Namen der Datei angeben, die als Listendatei verwendet werden soll (siehe auch Option 'make list- file'). Use TBAV.INI file Wenn Sie diese Option auswählen, ist die Konfiguration von TbClean, so wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS- Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2 ('Konfiguration'). Prompt for pause TbClean hält die Ausgabe der Disassembling-Informationen nach jeder vollen Bildschirmseite an, damit Sie die Ergebnisse genauer studieren können. Use Anti-Vir.Dat Wird diese Option abgeschaltet, verhält sich TbClean so, als wären keine Anti-Vir.Dat-Informationen verfügbar und führt daher die heuristische Virenbeseitigung durch. Show program loops Normalerweise versucht TbClean die Bedingungen von Schleifen nachzuvoll- ziehen, um Schleifen, die mehrere tausend mal emuliert werden, nicht am Bildschirm anzuzeigen. Mit dieser Option arbeitet TbClean jedoch jede Programmschleife normal ab. => Bedenken Sie, daß die Geschwindigkeit von TbClean dabei drastisch ab- III - 29 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III nimmt. Kombinieren Sie diese Option NICHT mit der Option 'list', die Protokolldatei könnte sonst auf mehrere Megabyte an Daten anwachsen. Expanded Memory Wenn TbClean das Vorhandensein von Expanded Memory (EMS) entdeckt, so wird dieser automatisch bei der heuristischen Virenbeseitigung benutzt. Sollte Ihr EMS-Speicher jedoch sehr langsam sein, bzw. der Speicherma- nager nicht besonders stabil arbeiten, können Sie den Gebrauch des EMS-Speichers mit dieser Option verhindern. Make list file TbClean erstellt eine Protokolldatei, in der chronologisch das Dis- assemblieren des zu entfernenden Virus protokolliert wird. 4.3. Startoptionen Beim Aufruf von TbClean können Optionen angegeben werden. Diese können ausgeschrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die Optionen besser zu merken, weshalb sie in diesem Handbuch auch in dieser Form verwendet werden. Option Parameter Abk. Erklärung ------ --------- ---- -------------------------------------------- help he =Hilfetext (-? = Kurze Hilfe) pause pa =Das 'Pause'-Prompt wird aktiviert mono mo =Verwendet am Bildschirm Monochrommodus noav na =Ant-Vir.Dat-Dateien nicht verwenden noems ne =EMS-Speicher nicht verwenden showloop sl =Jede Schleifeniteration anzeigen list [=<Dateiname>] li =Eine Protokolldatei erstellen Im folgenden werden alle Startoptionen kurz erklärt. help (he) Wenn Sie diese Option benutzen, zeigt TbClean den Inhalt der TBCLEAN.HLP- Datei an, sofern sie sich im Verzeichnis von TbClean befindet. Mit der Option '?' erhalten Sie eine zusammengefaßte Hilfeinformation, wie oben aufgeführt. pause (pa) Wenn Sie die Option 'pause' angeben, wird TbClean nach jeder Bildschirm- seite mit Disassembler-Informationen eine Pause machen. Damit haben Sie die Möglichkeit, die Ergebnisse genauer anzusehen. mono (mo) Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb- emulierenden Schwarzweiß-Systemen verbessert werden. III - 30 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III noav (na) Mit dieser Option verhält sich TbClean, als ob keine Anti-Vir.Dat-Infor- mationen zur Verfügung stünden. noems (ne) Wenn TbClean das Vorhandensein von Expanded Memory (EMS) entdeckt, so wird dieser automatisch bei der heuristischen Virenbeseitigung benutzt. Sollte Ihr EMS-Speicher jedoch sehr langsam sein, bzw. der Speichermana- ger nicht besonders stabil arbeiten, können Sie den Gebrauch des EMS-Spei- chers mit der Option 'noems' verhindern. showloops (sl) Normalerweise versucht TbClean die Bedingungen von Schleifen nachzuvoll- ziehen, um Schleifen, die mehrere tausend mal emuliert werden, nicht am Bildschirm anzuzeigen. Mit dieser Option arbeitet TbClean jedoch jede Programmschleife normal ab. => Bedenken Sie, daß die Geschwindigkeit von TbClean dabei drastisch ab- nimmt. Kombinieren Sie diese Option NICHT mit der Option 'list', denn die Protokolldatei könnte sonst auf mehrere Megabyte an Daten anwachsen. list [=<Dateiname>] (li) Wenn Sie diese Option benutzen, wird Ihnen TbClean eine Protokolldatei erstellen, in der chronologisch das Disassemblieren des zu entfernenden Virus protokolliert wird. Beispiele TbClean VIRUS.EXE TbClean legt unter dem Namen VIRUS.VIR eine Sicherheitskopie an und desinfiziert VIRUS.EXE. TbClean VIRUS.EXE TEST.EXE TbClean kopiert VIRUS.EXE nach TEST.EXE und desinfiziert TEST.EXE. 4.4. Der Cleaning-Prozeß Wählen Sie 'Start cleaning' im TBAV-Menü. Nun spezifizieren Sie den Namen der Datei, die desinfiziert werden soll. Angenommen, Sie wollen die Programmdatei virus.exe desinfizieren: Geben Sie den Namen der zu säubernden Datei ein, TbClean erstellt zuerst ein Backup! C:\VIRUS\VIRUS.EXE Das ThunderBYTE Utility säubert nach einem Datei-für-Datei-Ansatz: Eine Datei säubern, das Resultat überprüfen und dann mit der nächsten Datei fortfahren. Dies hat für Sie den Vorteil, daß Sie genau mitverfolgen können, welche Datei sauber ist, welche beschädigt wurde und durch ein Backup ersetzt werden muß, und welche immer noch infiziert ist. Geben Sie den Namen der desinfizierten Datei an. Darf das infizierte Programm geändert werden, tragen Sie nichts ein. C:\VIRUS\TEST.EXE III - 31 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Durch Spezifizieren eines anderen Dateinamens (z.B. 'test.exe') geben Sie an, daß die desinfizierte Datei die Original-.EXE-Datei nicht über- schreiben darf. In unserem Beispiel wird TbClean die Datei VIRUS.EXE nach TEST.EXE kopieren und TEST.EXE desinfizieren. Der Säuberungsprozeß wird dann in Gang gesetzt. Wenn Sie keinen Backup-Dateinamen angeben, erzeugt TbClean selbst ein Backup mit der Extension '.vir' (z.B. VIRUS.VIR) und desinfiziert die .EXE-Datei. +-----------------------------------------------------------------+ | Thunderbyte clean utility v6.03 (C) 1992-93 Thunderbyte B.V. | +---------Infected state----------++---------Original state-------+ | Entry point (CS:IP) 34BF:0012 || Entry point (CS:IP) 34BF:0012| | File length || File length UNKNOWN! | | Cryptographic CRC 9F90F52A || Cryptographic CRC UNKNOWN! | +---------------------------------++------------------------------+ | | | Starting clean attempt. Analyzing infected file... | | Anti-Vir not found: original state unknown. Trying emulation... | | Emulation terminated: | | | | C:\VIRUS\TEST.EXE | | CS:IP Instruction AX BX CX DX DS SI ES DI SS SP | | 9330:0101 mov ah,40 FFFE9330FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0103 mov bx,0002 40FE9330FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0106 mov cx,0016 40FE0002FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0109 mov dx,cs 40FE00020016EFFFD382FFEDEFFEFFFF9520007E| | 9330:010B mov ds,dx 40FE000200169330D382FFEDEFFEFFFF9520007E| | 9330:010D mov dx,0117 40FE0002001693309330FFEDEFFEFFFF9520007E| | 9330:0110 int 21 40FE0002001601179330FFEDEFFEFFFF9520007E| | 9330:0112 mov ax,4CFF 40FE0002001601179330FFEDEFFEFFFF9520007E| | 9330:0115 int 21 4CFF0002001601179330FFEDEFFEFFFF9520007E| | 9330:0115 <End of emulation> | +-----------------------------------------------------------------+ Während der Virenbeseitigung TbClean zeigt soviel Informationen wie möglich über die momentan ab- laufende Operation, so wie oben abgebildet. Alle wichtigen Aktionen werden im Emulationsfenster angezeigt, eine Disassemblierung und die Registerinhalte des Programms, das sich in Arbeit findet zusammen mit einem Bericht wie weit das Verfahren ist. Das Status-Fenster zeigt nützliche Detailinformationen der infizierten Datei und - falls TbClean eine entsprechende Anti-Vir.Dat-Datei findet - deren Originalzustand. Sie können den Desinfizierungs-Vorgang durch Drücken von <Strg-Pause> (= <Ctrl-Break>) abbrechen. Die Arbeit ist noch nicht ganz erledigt Eine erfolgreiche Säuberung ist nicht das Ende der Geschichte! Ihre Ar- beit ist erst teilweise getan. Einige Viren beschädigen Datendateien. Sie können zufällig Bytes auf Ihrer Disk ändern, Sektoren vertauschen oder andere üble Tricks anwenden. Ein Clean-Utility kann niemals Ihre III - 32 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Daten reparieren! Überprüfen Sie Ihre Daten genauestens und ziehen Sie einen Virenexperten zu Rate, um herauszufinden, wozu der Virus über- haupt in der Lage war. Sollten irgendwelche Zweifel bestehen, ist ein Wiederherstellen der Daten die angemessenste Option. => Unter keinen Umständen sollten Sie mit desinfizierter Software weiter- arbeiten! Desinfizieren ist eine vorübergehende Lösung, um es Ihnen zu ermögli- chen, eine umfassende Wiederherstellung auf den ersten verfügbaren Zeitraum zu verschieben, in dem keine alltäglichen Arbeitsabläufe un- terbrochen werden müssen (z.B. am Wochenende). Sie sollten sich nicht längere Zeit auf ein desinfiziertes Programm verlassen. Verstehen Sie dies bitte nicht als Abwertung von Virenbeseitigungs-Unternehmen. Wenn Ihnen Ihre Daten etwas wert sind, sollten Sie für diese so gut als mög- lich Sorge tragen. Sich einzig auf Original-Software zu verlassen, ist hierbei nichts anderes als eine elementare Vorkehrung. Mit anderen Wor- ten: Installieren Sie die Original-Programme sobald als möglich! Grenzen der Virenbeseitigung Obwohl TbClean eine hohe Erfolgsrate aufweisen kann und Programme desinfiziert, die andere Anti-Viren-Programme nicht einmal bearbeiten, können dennoch nicht alle Viren gelöscht und nicht alle Dateien desinfiziert werden. Viren, die aus einer infizierten Datei nicht gelöscht werden können: Überschreibende Viren. Überschreibende Viren hängen sich selbst nicht am Ende des Original- programms an, sondern kopieren sich über die Originaldatei. Diese Viren versuchen nicht, das Originalprogramm aufzurufen und danach einfach auf die DOS-Ebene zurückzukehren. Diese Viren verursachen normalerweise einen Systemabsturz oder springen zur DOS-Ebene zurück. Da die Originaldatei überschrieben und beschädigt wurde, kann kein Anti-Viren-Programm diesen Virus löschen. Einige verschlüsselte Viren. Normalerweise entschlüsselt TbClean den Virus. Manche Viren arbeiten jedoch mit Anti-Debugger-Fähigkeiten, mit denen TbClean bis jetzt noch nicht fertig wird. Programme, die aufgrund Ihrer besonderen Konstruktion nicht desinfiziert werden können: EXE-Programme mit internen Overlays. TbScan schreibt hinter diese Programme ein 'i'. Diese Programme können nicht infiziert werden, ohne dabei beschädigt zu werden. Einige Viren erkennen dies und infizieren sie daher nicht. Die meisten Viren infi- zieren diese Programme jedoch und beschädigen dabei die Datei endgültig. III - 33 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Einen solchen Schaden kann kein Anti-Viren-Programm beheben. Programme mit Selbsttest-Routinen. Manche Programme - meist Anti-Viren-Software oder kopiergeschützte Programme - führen eine Art Selbstkontrolle durch. Die heuristische Virenbeseitigung in einer infizierten Datei führt normalerweise dazu, daß das desinfizierte Programm mit dem Originalprogramm nicht mehr vollständig identisch ist. Obwohl der Virus aus der Datei gelöscht wurde, und das desinfizierte Programm mit dem Originalprogramm funktionell identisch ist, wird eine Selbstkontrolle diese Ver- änderungen (die Bytes, die dem Programm hinzugefügt wurden oder den etwas veränderten Stack) normalerweise entdecken. Virenbeseitigung in mehreren Dateien TbClean wurde mit keinen Vorkehrungen ausgestattet, um mehrere Programme in einem Durchlauf von Viren zu befreien. Hierfür gibt es zwei Gründe: - TbClean kann nicht automatisch nach Viren suchen, da es keine Viren kennt. - Wir empfehlen Ihnen dringend, Ihren Computer Datei für Datei von einem Virus zu befreien. Beseitigen Sie zuerst die Viren der einen Datei, überprüfen Sie dann das Ergebnis und beseitigen Sie erst da- nach den Virus der nächsten Datei. Dadurch können Sie den Überblick darüber behalten, welche Dateien wiederhergestellt wurden, welche zerstört wurden und von einer Sicherheitskopie wieder hergestellt werden müssen und welche Dateien noch von Viren befallen sind. III - 34 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 5. Fortlaufende Viren-Prävention: TbMon Der Zweck der TbMon-Utilities TbMon ist ein Set, bestehend aus drei speicherresidenten Anti-Viren- Utilities: TbMem entdeckt den Versuch von Programmen, im Speicher resident zu werden und stellt sicher, daß sich kein Programm ohne Erlaubnis im Speicher festsetzt. TbFile entdeckt den Versuch von Programmen, andere Programme zu infizieren. TbDisk entdeckt den Versuch von Programmen, direkt auf Datenträger zu schreiben (unter Umgehung von DOS), Formatierversuche, etc. Anleitungen, wie Sie diese Utilities einsetzen können, sind im folgenden aufgeführt. Benutzung des TbMon-Programms Laden der TBMon-Programme Die TbMon-Programme werden alle auf dieselbe Weise geladen. Für spezi- fische Informationen zu jedem Einzelprogramm, wie etwa Startoptionen, schlagen Sie bitte im entsprechenden Kapitel nach. Es gibt drei verschiedene Möglichkeiten, die TbMon-Programme zu starten: Von der DOS-Befehlszeile oder der Autoexec.Bat-Datei: <Pfad>Tbxx Von der Config.Sys aus als TSR (ab Dos 4.0): Install=<Pfad>Tbxxx.Exe Der "Install="-Befehl in der Config.Sys ist in den DOS-Versionen 3.xx NICHT verfügbar. Um ein TbMon-Programm von der Config.Sys aus als Gerätetreiber zu installieren: Device=<Pfad>Tbxxx.Exe Das Ausführen von TbMon-Programmen als Gerätetreiber, funktioniert nicht in allen OEM-Versionen von DOS. Sollte es also nicht richtig arbeiten, verwenden Sie den "install='-Befehl oder laden Sie das Programm von der Autoexec.Bat aus. Ein TbMon-Programm sollte immer richtig arbeiten, wenn es von der Auto- exec.Bat gestartet wird. Anders als andere Anti-Viren-Programme können die Thunderbyte Anti-Viren-Programme geladen werden, bevor das Netzwerk gestartet wird, ohne den Schutz vor Viren im Netzwerk zu verlieren. III - 35 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Hochladen von TBMon-Programmen Zusätzlich zu den drei oben genannten Aufruf-Möglichkeiten, können An- wender, die DOS 5.0 (oder höher) verwenden, TbMon-Programme in den UMB (Upper Memory Block) "hochladen", sofern dieser vorhanden ist. LoadHigh <Pfad>Tbxxx.Exe Von der Config.Sys aus kann ein TbMon-Programm ebenfalls hochgeladen werden: DeviceHigh=<Pfad>Tbxxx.Exe TBMon und MS-Windows Benutzer von MS-Windows sollten ein TbMon-Programm starten, bevor Windows aufgerufen wird. In diesem Fall befindet sich das TbMon-Pro- gramm nur einmal im Speicher, aber jedes DOS-Fenster hat trotzdem den vollen Nutzen des Programms. Das TbMon-Programm stellt den Start von Windows fest und schaltet sich, wenn nötig, in einen speziellen Multi- tasking-Modus. In einem DOS-Fenster kann das TbMon-Programm abgeschaltet werden, ohne die Funktion des Programms in den anderen DOS-Fenstern zu beeinflussen. Startoptionen Alle TbMon-Utilities können mit verschiedenen Optionen eingesetzt wer- den. Die unten aufgelisteten Optionen können bei allen drei Utilities eingesetzt werden. Die jeweils spezifischen Optionen finden Sie in den entsprechenden Kapiteln. help (?) Mit dieser Option zeigt Ihnen das TbMon-Programm eine Optionen-Liste an. off (d) Deaktiviert das TbMon-Programm, dieses verbleibt aber im Speicher und kann wieder reaktiviert werden. on (e) Das TbMon-Programm kann damit wieder aktiviert werden, nachdem es mit der 'off'-Option abgeschaltet wurde. remove (r) Wurde ein TbMon-Programm bereits speicherresident geladen, so kann es durch seinen nochmaligen Aufruf mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche spei- cherresidente Programme nach dem TbMon-Programm geladen, so würde die Entfernung des Programms aus dem Speicher große Probleme verursachen. Die TbMon-Programme erkennen dies und umgehen solche Probleme, indem sie sich in diesem Fall nicht aus dem Speicher entfernen, sondern nur komplett abschalten. III - 36 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 5.1. TbMem Der Zweck von TbMem Die meisten Viren bleiben resident im Speicher, nachdem sie einmal aktiviert wurden. Während sie speicherresident geladen sind, können sie unbemerkt andere Programme infizieren, Operationen des Systems stören, sich selbst vor Virenscannern oder Prüfsummenprogrammen ver- stecken und gleichzeitig auch noch andere üble Dinge anstellen. Auf der anderen Seite sind viele Viren leicht zu entdecken, indem man den Vorgang des Residentwerdens im Speicher überwacht. TbMem überwacht das System und stellt sicher, daß kein Programm unerlaubt resident im Speicher bleibt! Damit zieht jedes Programm die Aufmerksamkeit auf sich, wenn es speicherresident bleiben will. Die Wahrscheinlichkeit, daß ein Virus unentdeckt bleibt, wird hier- durch deutlich verringert. TbMem schützt auch den Inhalt des CMOS- Konfigurationsspeichers. Was ist ein speicherresidentes Programm? Die meisten Programme werden von der DOS-Befehlszeile aus aufgerufen, um irgendeine Tätigkeit auszuführen. Nach Beendigung des Programms befinden Sie sich wieder da, wo Sie begonnen haben: auf der Befehlszeile. Einige Programme arbeiten allerdings weiter, nachdem sie beendet wurden. Diese Programme laden sich in den Speicher ihres PCs, bleiben resident im Speicher, um im Hintergrund der anderen Programme bestimmte Dinge zu erledigen. Beispiele dafür sind schnelle Festplatten- und Disketten- zwischenspeicher-Programme, Drucker-Spooler zum Beschleunigen des Druckens, Netzwerksoftware usw. Diese Programme werden häufig kurz als 'TSR'-Programme bezeichnet, was 'Terminate-and-Stay-Resident', also 'Beendet-und-speicherresident-bleibend' bedeutet. Die meisten Viren bleiben ebenfalls speicherresident, und das ist der Grund, warum der Vorgang des Speicherresidentwerdens in irgendeiner Weise kontrolliert werden sollte, vorzugsweise mit TbMem. TbMem gibt Ihnen die Möglichkeit, ein Programm zu unterbrechen, bevor es resident werden kann. TbMem überwacht den Aufruf von DOS-TSR-Funk- tionen und beobachtet wichtige Interrupt-Aufrufe und Speicherstrukturen. TbMem benutzt die Aufzeichnungen in der Datei Anti-Vir.Dat, um zu ent- scheiden, ob ein Programm resident im Speicher bleiben darf. Dabei werden viele übliche speicherresidente Programme von TbSetup erkannt. Falls TbSetup ein solches TSR-Programm nicht erkannt hat, so fragt TbMem nach Ihrer Erlaubnis, ob dieses Programm speicherresident werden darf. Diese Information wird in der Datei anti-vir.dat gespei- chert, um Sie davor zu bewahren, daß TbMem Sie jedesmal plagt, wenn ein bereits genehmigtes Programm erneut als TSR im Speicher bleiben will. III - 37 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III TbMem überprüft nach jedem Programmende den CMOS-Speicher, und gibt Ihnen die Möglichkeit, die CMOS-Informationen wieder herzustellen, wenn sie verändert wurden. Wenn Sie TbMem einmal beigebracht haben, welche Programme als TSR-Programme auf einem Computer erlaubt sind, können Sie TbSetup verwenden, um diesen Programmen auf anderen Computern in der Datei Anti-Vir.Dat ebenfalls die Erlaubnisinformation zu erteilen. TbMem installiert einen 'hot key', also eine besondere Tastenkombina- tion, mit der Sie aus nahezu jedem Programm herauskommen können. TbMem is vollständig netzwerkkompatibel. Sie sind nicht gezwungen, das Programm nach dem Einloggen ins Netz noch einmal zu starten. Benutzung von TbMem Da TbMem ein speicherresidentes Programm ist, kann es von der DOS- Befehlszeile oder aus einer Batch-Datei heraus gestartet werden. TbMem sollte auf jeden Fall automatisch aufgerufen werden, sobald der Computer gebootet wird - vorzugsweise also bei der Ausführung der Config.Sys- oder der Autoexec.Bat-Datei. => Stellen Sie sicher das TbDriver bereits geladen ist - TbCheck kann sonst nicht gestartet werden. Startoptionen In der Befehlszeile können beim Programmaufruf Optionen angegeben werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn TbMem noch nicht speicherresident geladen ist. Option Parameter Abk. Erklärung ------ --------- ---- ---------------------------- help ? =Zeigt Hilfetext off d =Schaltet Überprüfung ab on e =Schaltet Überprüfung an remove r =Entfernt TbMem aus dem Speicher secure s =Nicht zugelassene TSR nicht ausführen keycode =<keycode> k =Gibt Tastatur-Scancode für den Hotkey an nocancel n =Programmbeendigungs-Hotkey nicht installieren nocmos m =CMOS-Speicher nicht überwachen help (?) Mit dieser Option zeigt TbMem die oben abgebildete Optionen-Liste an. off (d) Deaktiviert TbMem, das Programm verbleibt aber im Speicher und kann wieder reaktiviert werden. III - 38 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III on (e) TbMem kann damit wieder aktiviert werden, nachdem es mit der 'off'- Option abgeschaltet wurde. remove (r) Wurde TbMem bereits speicherresident geladen, so kann es durch den Aufruf von TbMem mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbMem geladen, so würde die Entfernung des Programms aus dem Speicher große Probleme verursachen. TbMem erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. secure (s) TbMem fragt normalerweise den Benutzer, ob der Vorgang, wenn ein Programm resident im Speicher bleiben will, fortgesetzt werden darf oder abgebrochen werden soll. In manchen beruflichen Umgebungen sollten solche Fragen nicht von Angestellten beantwortet werden. Durch Ver- wendung der Option secure (abgekürzt "s") ist es nicht länger möglich, neue oder unbekannte Programme ausführen zu lassen. hotkey (k) Der Hotkey, um die Ausführung eines beliebigen Programmes abbrechen zu lassen, ist die Tastenkombination Strg-Alt-Einfg. Wenn Sie wollen, können Sie eine andere Tastenkombination für diese Aufgabe verwenden. Sie verwenden dazu die Option 'hotkey =<keycode>'. Dabei ist 'keycode' der Tastatur-Scancode, in vierziffriger hexadezimaler Angabe. Das linke Byte gibt den Status der Shift-Tasten, der Alt-, Ctrl-, Num-, Rollen- und der Einfg-Taste an, während das rechte Byte den Scancode der ge- drückten normalen Taste angibt. Ziehen Sie für weitere Informationen Ihre Computerhandbücher zu Rate. Der vorgegebene Wert ist 0C52h (Strg- -Alt-Einfg). Die Tastenkombination Strg-Alt-Esc hat den Wert 0C01h. nocancel (n) TbMem verwendet normalerweise den Programmbeendigungs-Hotkey (Strg- Alt-Einfg). Verwenden Sie die Option 'nocancel' (abgekürzt "n"), wenn Sie keinen Hotkey verwenden wollen. Der Speicherbedarf von TbMem wird dadurch etwas verringert. nocmos (m) TbMem schützt normalerweise den CMOS-Speicher, sofern vorhanden. Wenn Sie diesen Schutz nicht verwenden möchten, geben Sie diese Option an. Beispiele: C:\utils\TbMem oder: Device=C:\utils\TbMem.Exe III - 39 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Arbeitsweise von TbMem Wenn TbMem den Versuch eines Programmes entdeckt, speicherresident zu werden, wird eine Meldung in Ihrer Sprache am Bildschirm angezeigt, die Sie hierüber informiert. Sie können die Fortsetzung des Vorgangs erlauben oder das Programm sofort abbrechen lassen. Wenn Sie auf die Frage 'Aus dem Speicher entfernen?' mit 'NO' antworten, fährt das Programm ungestört fort, und TbMem speichert die Information, daß das Programm speicherresident werden darf, in der Datei anti-vir.dat ab. TbMem wird Sie beim nächsten Aufruf dieses Programms dann nicht mehr stören. Es gibt eine ganze Menge von speicherresidenten Programmen, wie z. B. Cache-Programme, Drucker-Spooler usw. Wie unterscheidet TbMem diese von Viren? TbMem verwendet die Informationen der von TbSetup erzeugten Datei anti-vir.dat, um zu unterscheiden, ob ein TSR-Programm normal ist oder nicht. Die meisten üblichen residenten Programme werden von TbSetup als normal erkannt und als solche in der Datei anti-vir.dat gekenn- zeichnet, so daß Sie sich nicht um diese Programme kümmern müssen. Wenn TbMem eine Meldung anzeigt, daß ein Programm versucht resident im Speicher zu bleiben, müssen Sie sich klar werden, was die Aufgabe des aufgerufenen Programms ist. Soll das Programm irgendwelche Arbeiten im Hintergrund durchführen? Dies ist offensichtlich richtig, wenn das Programm ein Cache-Programm, ein Drucker-Spooler, ein auf Tasten- druck aktivierbares Hintergrundhilfsprogramm oder etwa ein Programm zur Erweiterung von Systemfunktionen ist. Erscheint diese Meldung hingegen, nachdem Sie mit Ihrer Textverarbei- tung gearbeitet haben, oder ein Datenbank- oder ein Tabellenkalkula- tionsprogramm beendet haben, dann ist das äußerst verdächtig! Verhindern Sie den Vorgang und überprüfen Sie Ihren Computer mit einem Virenscanner. Das gleiche gilt, wenn ein Programm, das normalerweise nicht speicher- resident arbeitet, plötzlich sein Verhalten ändert, und versucht, im Speicher zu bleiben. 5.2. TbFile Der Zweck von TbFile Es gibt verschiedene Kategorien von Viren. Die zwei wichtigsten sind die Bootsektorviren und die Dateiviren. Den Dateiviren ist gemeinsam, daß Sie Programme infizieren. Das Infizieren von Programmen ist eine ganz spezielle Operation, die sich von anderen Zugriffen auf Dateien unter- scheidet, und dadurch ist es möglich diesen Vorgang zu entdecken. TbFile überwacht das System und entdeckt die Versuche eines Programms, ein anderes zu infizieren. Anders als andere Dateiwächter überwacht TbFile nur virenspezifische Dateiveränderungen. TbFile verursacht keinen Alarm, wenn ein Programm seine eigene Datei verändert, um Konfigurations- III - 40 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Daten zu ändern. Auch meldet es nicht, wenn ein Programm durch eine neue Version ersetzt wird, wenn Sie selbst Programme schreiben. In einem normalen System werden Sie nie einen falschen Alarm erhalten! TbFile stellt nicht nur Infektionsversuche fest, sondern läßt Sie den Infektionsvorgang unterbrechen und das Programm fortsetzen. TbFile stellt auch andere verdächtige Vorgänge fest, wie zum Beispiel das Verändern der Sekunden auf einen unerlaubten Wert. TbFile hat einen sehr hochentwickelten Mechanismus, um Infektionen festzustellen und schlägt deshalb beim Ausführen von standardmäßigen Dateizugriffen keinen falschen Alarm. In normalen Konfigurationen wird nie ein falscher Alarm gemeldet werden! Dateien können gegen unbeabsichtigte Veränderungen mit Hilfe des Dateiattributs Read-Only geschützt werden. Ohne TbFile kann dieser DOS-Standardschutz leicht umgangen werden. TbFile dagegen sorgt dafür, daß ein Versuch, das Read-Only-Attribut zu sabotieren, nicht unbemerkt bleibt. Dies gibt Ihnen eine zusätzliche Sicherheit, indem Sie eine unkomplizierte Methode anwenden, die Ihre Dateien voll- ständig gegen Zerstörung und Infektion schützt. TbFile is vollständig netzwerkkompatibel. Sie sind nicht gezwungen, das Programm nach dem Einloggen ins Netz noch einmal zu starten. Andere speicherresidente Anti-Virus-Programme lassen dem Anwender die Wahl zwischen dem Virenschutz bevor das Netzwerk gestartet wurde, oder nachdem das Netzwerk gestartet wurde. Beides ist nicht möglich. Startoptionen In der Befehlszeile können beim Programmaufruf Optionen angegeben werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn TbFile noch nicht speicherresident geladen ist. Option Abk. Erklärung ------ ---- ---------------------------- help ? =Zeigt Hilfetext off d =Schaltet Überprüfung ab on e =Schaltet Überprüfung an remove r =Entfernt TbFile aus dem Speicher secure s =Genehmigungen nicht gestatten allattrib a =Überprüfung aller Read-Only-geschützten Dateien help (?) Mit dieser Option zeigt TbFile die oben abgebildete Optionen-Liste an. off (d) Deaktiviert TbFile, das Programm verbleibt aber im Speicher und kann wieder reaktiviert werden. III - 41 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III on (e) TbFile kann damit wieder aktiviert werden, nachdem es mit der 'off'- Option abgeschaltet wurde. remove (r) Wurde TbFile bereits speicherresident geladen, so kann es durch den Aufruf von TbFile mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbFile geladen, so würde die Entfernung des Programms aus dem Speicher große Probleme verursachen. TbFile erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. secure (s) TbFile fragt normalerweise den Benutzer, ob verdächtige Aktionen fortgesetzt werden dürfen oder abgebrochen werden sollen. In manchen beruflichen Umgebungen sollten solche Fragen nicht von Angestellten beantwortet werden. Durch Verwendung der Option secure (abgekürzt "s") ist es nicht länger möglich, verdächtige Operationen fortführen zu lassen. allattrib (a) TbFile schützt normalerweise nur die Read-Only-Attribute von aus- führbaren Dateien (Programmdateien mit der Erweiterung .com oder .exe). Wenn Sie die Read-Only-Attribute von allen Dateien überwachen lassen wollen, müssen Sie die Option allattrib (abgekürzt mit "a") verwenden. In diesem Fall werden Sie alarmiert, wenn ein Read-Only-Attribut von irgendeiner Datei entfernt werden soll. Beispiele: C:\utils\TbFile allattrib oder: Device=C:\utils\TbFile.Exe allattrib 5.3. TbDisk Der Zweck von TbDisk Viele Viren versuchen Daten auf Laufwerken zu zerstören. Dies er- reichen Sie, indem sie beispielsweise die FAT überschreiben oder Sektoren vertauschen. Fast alles ist möglich. Es gibt eine heimtückische Programmsorte die als 'bootsector virus droppers' ('dropper' = 'Schlepper') bezeichnet werden und Bootsektorvi- ren auf Disketten installieren. Diese Programme sind selbst keine Viren, sie installieren nur einen Virus. Eben deshalb ist es für Virenscanner schwer, sie zu entdecken. Die einzige Möglichkeit, ist die Überwachung ihres Verhaltens. Keines dieser Programme verwendet für seine Schreibversuche DOS- Funktionen, sondern benutzt für seinen Zugriff direkte Aufrufe von BIOS-Funktionen, unter Umgehung von DOS. TbDisk überwacht das System und stellt sicher, daß kein Programm III - 42 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III ohne Erlaubnis direkt auf die Laufwerke schreiben darf. Damit wird auf alle Programme aufmerksam gemacht, die direkt auf die Laufwerke schreiben wollen. Die Wahrscheinlichkeit, daß ein Virus unentdeckt bleibt, wird hierdurch reduziert. Ebenso können Viren daran gehindert werden, Daten zu zerstören. Die "bootsector virus droppers" können entdeckt werden. Außerdem kann TbDisk dazu eingesetzt werden, Festplatten vor Schreib- zugriffen zu schützen. Das kann nützlich für Sie sein, wenn Sie neue Programme ausprobieren wollen. TbDisk informiert Sie nicht nur über Versuche von Programmen, auf die Laufwerke direkt zuzugreifen, sondern läßt Sie den Vorgang auch abbrechen, bevor Schaden angerichtet werden kann. TbDisk entdeckt auch 'stealth'-Techniken. TbDisk stellt Versuche fest, in einzelnen Schritten auf den BIOS-Handler zuzugreifen. Es zeigt ebenfalls die Verwendung undokumentierter Aufrufe an, die Schäden auf den Datenträgern anrichten können. TbDisk ist in der Lage, direkte Schreibzugriffe über Aufrufe des Interrupt 13h festzustellen. Um dies zu erreichen, muß zwischen DOS und Anwendersoftware unterschieden werden, da es DOS erlaubt ist, zu schreiben, und anderer Software normalerweise nicht. TbDisk benutzt die Aufzeichnungen in der Datei anti-vir.dat, um zu entscheiden, ob ein Programm direkt auf die Laufwerke zuzugreifen darf. Viele übliche Hilfsprogramme für die Dateiverwaltung werden von TbSetup erkannt. Falls TbSetup ein solches Programm nicht erkannt hat, so fragt TbDisk nach Ihrer Erlaubnis, ob dieses Programm direkt auf die Laufwerke zugreifen darf. Diese Information wird in der Datei anti-vir.dat gespei- chert. TbDisk wird Sie beim nächsten Aufruf des betreffenden Programmes nicht mehr unnötig warnen. TbDisk is vollständig netzwerkkompatibel. Sie sind nicht gezwungen, das Programm nach dem Einloggen ins Netz noch einmal zu starten. Andere speicherresidente Anti-Virus-Programme lassen dem Anwender die Wahl zwischen dem Virenschutz bevor das Netzwerk gestartet wurde, oder nachdem das Netzwerk gestartet wurde. Beides ist nicht möglich. Benutzung von TbDisk TBDisk aufrufen Eine ungeeignete Installation kann eine große Anzahl an Fehlalarmen und sogar Datenverlust zur Folge haben. Wenn Sie TbDisk von der Datei autoexec.bat oder config.sys aus aufrufen lassen wollen, ist es sehr empfehlenswert, fürs erste die Option "install" zu verwenden. Wenn sich Ihr System auch weiterhin normal verhält, und TbDisk keinen fal- schen Alarm auslöst, wenn Sie Dateien auf ihre Festplatte kopieren, ist TbDisk korrekt installiert, und Sie können die Option install wieder entfernen. III - 43 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III TbDisk in Ihrer Installation Wenn TbDisk Fehlalarme auslöst, sollten Sie den Aufruf des Programms in Ihrer config.sys oder autoexec.bat weiter nach hinten verschieben, bis es fehlerfrei arbeitet. Anders als andere TBAV-Programme, sollten Sie TbDisk nach anderen speicherresidenten Programmen starten! Dies nicht zu befolgen, kann viele falsche Alarme auslösen! TbDisk und MS-Windows TbDisk stellt den Start von Windows fest und schaltet sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem DOS-Fenster kann TbDisk abgeschaltet werden, ohne die Funktion des Programms in den anderen DOS-Fenstern zu beeinflussen. Wenn Sie Windows für die Verwendung des 32-Bit Zugriffs eingestellt haben, und Windows einen Fehler meldet, kann es erforderlich sein, die Option 'win32' zu benutzen. Startoptionen In der Befehlszeile können beim Programmaufruf Optionen angegeben werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit verfügbar, alle übrigen können nur beim ersten Aufruf angegeben werden, wenn TbDisk noch nicht speicherresident geladen ist. Option Parameter Abk. Erklärung ------ --------- ---- ---------------------------- help ? =Zeigt Hilfetext remove r =Entfernt TbDisk aus dem Speicher off d =Schaltet Überprüfung ab on e =Schaltet Überprüfung an wrprot p =Schreibschutz für Festplatten nowrprot n =Kein Schreibschutz mehr für Festplatten win32 w =Erlaubt Windows 32bit-Laufwerkszugriff secure s =Verbietet Zugriff ohne nachzufragen nostealth a =Keine Suche nach 'stealth'-Zugriffen notunnel t =Keine Suche nach 'tunneling' install i =Installations-Test-Modus help (?) Mit dieser Option zeigt TbDisk die oben abgebildete Optionen-Liste an. Wurde TbDisk bereits speicherresident geladen, werden nur noch die dann verfügbaren Optionen angezeigt. remove (r) Wurde TbDisk bereits speicherresident geladen, so kann es durch den Aufruf von TbDisk mit der Option remove (abgekürzt "r") wieder aus dem Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro- gramme nach TbDisk geladen, so könnte die Entfernung des Programms aus III - 44 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III dem Speicher große Probleme verursachen. TbDisk erkennt dies und um- geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher entfernt, sondern nur abschaltet. off (d) Wenn Sie die Option off verwenden, so wird TbDisk vorübergehend abge- schaltet, aber bleibt weiter speicherresident geladen. on (e) Wurde TbDisk mit der Option off abgeschaltet, so kann es mit der Option on wieder angeschaltet werden. wrprot (p) Disketten können einfach durch Bekleben der Schreibschutzkerbe oder durch Verschieben des Schreibschutzschiebers geschützt werden. Für Festplatten ist dies leider nicht möglich. Dies erhöht die Gefahr, wenn Sie beispielsweise neue Programme ausprobieren, um festzustellen, was diese mit ihrer Festplatte machen und wie Daten beeinflußt werden. Die Option wrprot kann zum Schreibschutz Ihrer Festplatte eingesetzt werden. Versucht ein Programm, auf eine so geschützte Festplatte zu schreiben, erhalten Sie eine Fehlermeldung wie: "Schreibschutzfehler beim Schreiben auf Laufwerk c: A)bort, R)etry, I)gnore?". Sie können dann eine der Möglichkeiten auswählen. => Beachten Sie, daß ein solcher Software-Schreibschutz nicht hundertpro- zentig zuverlässig. Auch wenn nahezu kein Virus einen solchen Schutz umgehen kann, so ist das doch nicht unmöglich. Trotzdem ist das Verfah- ren ein wertvoller Schutz gegen die meisten heimtückischen Programme. nowrprot (n) Die Option nowrprot (abgekürzt "n") macht die Option wrprot rückgängig. win32 (w) Windows verwendet im erweiterten Modus für 386-PC einige undokumentierte DOS-Aufrufe, um den originalen BIOS-Disk-Handler zu ersetzen, wenn der 32Bit-Zugriff erlaubt wurde. Da TbDisk solche Aufrufe überwacht, werden diese 32Bit-Zugriffe verhindert. Soll Windows die Erlaubnis für solche Aufrufe haben, so können Sie die Option win32 (abgekürzt "w") verwenden. Die Sicherheit vor Viren wird dadurch jedoch etwas reduziert. => Achtung: Verwenden sie diese Option (welche die Sicherheit gegen Viren etwas vermindert) nur, wenn sie Windows im erweiterten 386-Modus den schnellen 32-Bit-Festplattenzugriff erlaubt haben. secure (s) TbDisk fragt normalerweise den Benutzer, ob direkte Schreibversuche fortgesetzt werden dürfen oder abgebrochen werden sollen. In manchen beruflichen Umgebungen sollten solche Fragen nicht von Angestellten beantwortet werden. Durch Verwendung der Option secure (abgekürzt "s") ist es nicht länger möglich, neuen oder unbekannten Programmen die Erlaubnis für direkte Zugriffe auf ein Laufwerk zu gestatten. III - 45 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III nostealth (a) TbDisk versucht direkte Aufrufe ins BIOS zu entdecken. Wird ein solcher Versuch unternommen, meldet TbDisk, daß auf das Laufwerk in unüblicher Weise zugegriffen werden soll. Sollte diese Fähigkeit falsche Alarme aus- lösen, so kann sie mit der Option 'nostealth' (abgekürzt 'a') abgeschal- tet werden. notunnel (t) TbDisk entdeckt normalerweise den Versuch von Viren zu tunneln. Das Tunneln ist eine von Viren verwendete Technik, um den Speicherplatz des BIOS-Codes im Speicher zu entdecken und diese Adresse für direkte Kommunikation mit dem BIOS zu gebrauchen. Damit wird die Überwachung aller speicherresidenten Antiviren-Programme umgangen. TbDisk ist in der Lage, Tunnel-Versuche festzustellen und vor ihnen zu warnen. Es gibt andere Antiviren-Programme, die sich der Tunnel-Technik bedienen, um speicherresidente Viren zu umgehen. Diese verursachen dabei dann einen falschen Alarm. Wenn Sie solche anderen Antiviren-Programme verwenden, können Sie mit der Option 'notunnel' (abgekürzt "t") die Überprüfung von Tunnelversuchen abschalten. install (i) Wenn TbDisk nicht korrekt installiert ist, kann es eine Vielzahl von Fehlalarmen auslösen. Um Sie davor zu bewahren, bei solchen Fehlalarmen erlaubte Schreibzugriffe abzubrechen, können Sie die Option install (abgekürzt "i") verwenden, wenn Sie TbDisk in der config.sys oder der autoexec.bat installieren. Die Arbeitsweise von TbDisk Was sind direkte Laufwerkszugriffe? Programme greifen oft auf Dateien über das Betriebssystem DOS (Disk Operating System) zu. Wenn ein Programm eine Datei auf den neusten Stand bringen will, so fordert es DOS auf, die Daten in die Datei auf die Disk zu schreiben. Es gibt aber auch noch andere Wege, um auf ein Laufwerk zu schreiben, und zwar unter Umgehung von DOS. Diese Schreibzugriffe werden als direkte Laufwerkszugriffe bezeichnet (direct disk access). Normale Programme schreiben nicht direkt. Es gibt allerdings Programme, die dies tun müssen. Folgende Programmgruppen gehören dazu: - Programme zur Formatierung von Disketten und Festplatten. Eine Formatierung kann nur mit direktem Zugriff durchgeführt werden. - Diagnose Utilities für Disketten und Festplatten (Bsp.: der NORTON disk doctor, das DOS-Programm chkdsk usw.) - Disk-Optimierungsprogramme. Die meisten Viren bedienen sich ebenfalls des direkten Zugriffs auf die Laufwerke. Deshalb sollte diese Zugriffsart auf irgendeine Weise kontrolliert werden, vorzugsweise mit TbDisk. III - 46 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Entdecken direkter Laufwerkszugriffe Wenn TbDisk den Versuch eines Programmes entdeckt, direkt auf ein Lauf- werk zuzugreifen, erscheint eine Meldung am Bildschirm, die Sie hierüber in Ihrer Sprache informiert. Sie können wählen, ob Sie den Zugriff ge- statten oder abbrechen. Wenn TbDisk die Meldung anzeigt, daß ein Programm versucht, direkt auf ein Laufwerk zuzugreifen, so müssen Sie sich den Zweck des laufenden Programms überlegen. Soll das Programm zum Beispiel Disketten formatieren oder Sektoren editieren? Erlauben Sie den Zugriff, wenn es sich um ein Formatierungsprogramm oder etwa ein Disketten- oder Festplatten- optimierungsprogramm handelt. Wenn jedoch eine Meldung angezeigt wird, während Sie mit einem Textver- arbeitungsprogramm, einer Datenbank oder einer Tabellenkalkulation arbeiten, ist das extrem verdächtig! Sie sollten das Programm abbrechen und Ihren Computer mit einem Virenscanner untersuchen. III - 47 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 6. TBAV-Tools 6.1. TbUtil Der Zweck von TbUtil TbUtil stellt einen wirksamen Schutz gegen Partitionstabellen- und Bootsektor-Viren dar: Es kann die Partitionstabelle, den Bootsektor und die CMOS-Daten in einer Datei sichern. Mit diesem Tool läßt sich die Partitionstabelle, der Bootsektor und der CMOS-Datenbereich nach einem Virenbefall ver- gleichen und rekonstruieren. TbUtil kann einen Partitionstabellen-Virus beseitigen, ohne eine Low- level-Formatierung der Festplatte vorzunehmen, selbst wenn kein Backup der Partitionstabelle existiert. Es kann Bootsektor-Viren beseitigen. Es ist in der Lage, eine Partitionstabelle erzeugen, die über einen integrierten Virenschutz verfügt. Es kann den infizierten oder den sauberen Bootsektor durch einen solchen ersetzen, der dem Standard-Bootsektor überlegen ist. Was ist eine Partitionstabelle? Eine Partition ist ein Logisches Laufwerk auf einer Festplatte. Ein physikalisches Laufwerk kann mehrere DOS-Partitionen umfassen. Jede DOS-Partition hat ihre eigene Laufwerkskennung (z.B. C: D: E:). Die Partitionstabelle enthält Start- und Endzylinder jeder Partition. Sie enthält auch Informationen über das Betriebssystem einer Partition und welche Partition zum Booten verwendet werden soll. Die Partitions- tabelle befindet sich immer auf dem ersten Sektor der Festplatte, wel- cher als "Master-Boot-Record" (MBR) bezeichnet wird. Formatierung unnötig Im Gegensatz zu den meisten Datei-Viren sind Partitionstabellen- Viren schwer zu beseitigen. Die einzige Lösung ist eine Low-Level- Formatierung der Festplatte und die Erstellung einer neuen Partitions- tabelle oder die Verwendung nicht-dokumentierter DOS-Befehle. TbUtil erstellt ein Backup von Partitionstabelle und Bootsektor. Dieses Backup kann zum Vergleichen und Wiederherstellen der ursprüng- lichen Partitionstabelle und des Bootsektors nach einer Infektion eingesetzt werden. Sie müssen Ihre Festplatte also nicht mehr forma- tieren, um einen Partitionstabellen- oder Bootsektor-Virus loszuwerden. Das Programm kann zudem die CMOS-Konfiguration wiederherstellen. III - 48 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Wenn Sie es wünschen, ersetzt TbUtil den Code der Partitionstabelle durch einen wesentlich virenresistenteren. Der Partitionscode von TbUtil wird ausgeführt, ehe der Bootsektor die Kontrolle übernimmt. Dadurch ist es möglich den Bootsektor in einer sauberen Umgebung zu prüfen. Ist der Bootsektor bereits ausgeführt, ist seine Überprüfung problematisch, da der Virus dann bereits resident im Speicher sitzt und jeden Schutz an der Nase herumführen kann. Anstatt jedesmal von einer sauberen DOS- Diskette zu starten, nur um den Bootsektor zu untersuchen, führt der Partitionscode von TbUtil eine CRC-Berechnung (eine spezielle Prüfsumme) durch, bevor dem Bootsektor die weitere Kontrolle überlassen wird. Sollte sich der Bootsektor verändert haben, wird Sie der Partitions- code von TbUtil hierüber informieren. Der TbUtil-Partitionscode prüft aber auch das RAM-Layout und informiert Sie über Veränderungen an diesem - jedesmal wenn Sie von Ihrer Festplatte booten. TbUtil kann infizierte und virenfreie Bootsektoren durch einen neuen ersetzen, der gegenüber dem Standard-Bootsektor wesentliche Vorteile bietet. Er besitzt die Fähigkeit, Viren zu entdecken, führt eine Selbstüberprüfung durch und lenkt den Bootvorgang automatisch auf die Festplatte um wenn sich in einem Diskettenlaufwerk eine nichtbootfähige Diskette befindet. Benutzung von TbUtil The TbUtil module contains several programs, which can be executed from the TbUtil menu or in case of an emergency from a TbUtil recovery diskette using the DOS command line. TbUtil allows some additional menu options. These options are discussed below. The corresponding command line parameters are listed in chapter 6 of this section. Das System Maintenance-Menü Dieses Menü enthält das eigentliche TbUtil-Programm. Das Programm kümmert sich um das Sichern, Wiederherstellen oder Vergleichen der Systemkonfi- guration Ihres PCs. Die Backup-Systemkonfiguration wird auf Diskette in einer Datei gespeichert. Diese trägt einen Standardnamen - Sie können aber auch einen Namen spezifizieren. => Beachten Sie, daß Sie eine Systemkonfiguration nur mittels einer Daten- datei restaurieren, die auf exakt diesem PC erstellt wurde. Sollte dies nicht der Fall sein, würde das Restaurieren einer solchen Datei Ihren PC unzugänglich machen! III - 49 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III +----Main menu-----+ | Confi+-----------TbUtil menu-----------+ | TbSet| Syste+-------System maintenance-------+ | TbSca| Immun| Execute TbUtil | | TbUti| Immun| Name of TbUtil data file | | TbCLe| Immun| Describe this machine | | TBAV +-------| Save system configuration | | Documentation|v Compare system configuration | | Quit and save| Restore system configuration | | eXit (no save|v process CMOS memory | +---------------|v process Partition code | |v process Bootsector | +--------------------------------+ Execute TbUtil Bevor Sie diese Option auswählen, müssen Sie zunächst eine der möglichen Funktionen angeben: 'save' (speichern), 'compare' (vergleichen) oder 'restore' (wiederherstellen) der Systemkonfiguration. Fahren Sie mit dem Cursorbalken auf den gewünschten Menüpunkt und bestätigen Sie mit <ENTER>. Eine kleine Markierung zeigt Ihnen an, daß die Option ausge- wählt wurde. Name of TbUtil data file Die 'save'-Option bewirkt, daß die Systemkonfiguration in einer Datei gespeichert wird. Sie können dieser Datei eine Beschreibung einfügen, die es Ihnen erleichtert, die Datendatei dem richtigen Rechner zuzu- ordnen. Describe this machine Geben Sie eine sinnvolle Beschreibung des Rechners ein. Beispiels- weise "AT 12MHz, 4MB, Raum 12, Herr Schmid". Sie müssen sich das also NICHT zu merken, TbUtil zeigt es Ihnen an, wenn Sie die Option 'compare' oder 'restore' wählen. Damit können Sie eine TbUtil-Datendatei problem- los dem richtigen Rechner zuordnen. Save system configuration Diese Option speichert die Partitionstabelle, den Bootsektor und den CMOS-Datenbereich in der TbUtil-Datendatei. =>> Achtung! Da der PC für DOS absolut unzugänglich ist, wenn die Parti- tionstabelle beschädigt wurde, RATEN wir Ihnen DRINGEND, sowohl die TbUtil-Datendatei als auch das Programm TbUtil.Exe selbst, auf einer Diskette abzuspeichern! Es ist nicht gerade schön, wenn die Partitions- tabelle zerstört ist und die einzige Lösung für dieses Problems auf derselben nichtzugänglichen Disk liegt... Wenn Sie TbUtil von der Befehlszeile starten, müssen Sie hinter der III - 50 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III 'store'-Option einen Dateinamen angeben. Erfolgt der Aufruf über das TBAV-Menü, können Sie den voreingestellten Dateinamen 'TBUTIL.DAT' ver- wenden. Falls Sie mehr als einen PC besitzen, ist es ratsam, eine TbUtil-Diskette anzulegen, auf der sich die Datendateien aller Ihrer PCs befinden. Setzen Sie dann die Dateinamens-Erweiterung zur Identi- fizierung des jeweiligen PCs ein: z.B.: a:TbUtil.<Nummer>. a:TbUtil.<number> Compare system configuration Mit dieser Option können Sie prüfen, ob noch alles in Ordnung ist. Geben Sie diese Option an, vergleicht TbUtil die Informationen in der TbUtil-Datendatei mit der Partitionstabelle, dem Bootsektor und dem CMOS-Datenbereich. Zudem werden die Bemerkungen, die in der TbUtil- Datendatei gespeichert sind, angezeigt. Zuguterletzt können Sie durch Verwendung dieser Option sichergehn, daß Ihre TbUtil-Datendatei noch lesbar ist. Restore system configuration Mit der Option 'restore' können Sie die Partitionstabelle, den Bootsek- tor und den CMOS-Datenbereich wiederherstellen. Sie müssen bestätigen, daß die vorhandene TbUtil-Datendatei zu eben diesem Rechner gehört. Zu- letzt wird die Partitionstabelle, der Bootsektor jener Partition, die zum Booten verwendet wird und der CMOS-Datenbereich wiederhergestellt. Process Partition code/Bootsector/CMOS memory TbUtil stellt standardmäßig die Partitionstabelle, den Bootsektor und den CMOS-Datenbereich wieder her. Geben Sie eine der oben genannten Opionen in Verbindung mit der Option 'restore' an, wird nur entspre- chende Teil restauriert. Das TbUtil-Menü Neben dem 'System Maintenance'-Menü, stellt das TbUtil-Menü einige weitere nützliche Programme zur Verfügung, mit denen Sie präventiv gegen Bootsektor-Viren vorgehen oder falls nötig beseitigen können. +----Main menu-----+ | Confi+-----------TbUtil menu-----------+ | TbSet| System maintenance menu >| | TbSca| Immunize/clean bootsector A: | | TbUti| Immunize/clean bootsector B: | | TbCLe| Immunize/clean partition code | | TBAV +---------------------------------+ | Documentation >| | Quit and save | | eXit (no save) | +------------------+ III - 51 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Immunize/clean diskette Mit dieser Option können Sie Disketten von Bootsektor-Viren befreien. Sie können sie aber auch dazu verwenden, den Standard-Bootsektor einer Diskette durch einen dem Original-Bootsektor überlegenen zu ersetzen: Er ist in der Lage Viren zu erkennen. Der Bootsektor prüft selbst, ob er sich noch auf dem richtigen Platz auf der Diskette befindet und daß der Interrupt 13h und/oder der 40h sich noch im ROM befinden. Damit lassen sich sogar Tarnkappen-Viren aufspüren. Der TBAV-Bootsektor ist in der Lage, die Systemdateien zu laden wenn sie auf der Diskette vorhanden sind. Befinden sich die DOS-Systemda- teien jedoch nicht auf der Diskette, öffnet der TBAV-Bootsektor ein kleines Menü, das Ihnen zwei Auswahlmöglichkeiten bietet: Sie können den Bootvorgang mit einer anderen Diskette nochmal versuchen oder von der Festplatte booten. Entscheiden Sie sich für letzteres, ist es nicht notwendig die Verriegelung des Diskettenlaufwerks zu lösen. Immunize/clean hard disk 'Immunize' ist eine sehr leistungsfähige Option. Sie kann zum Desinfizieren einer virenbefallenen Partitionstabelle eingesetzt werden, wenn keine TbUtil-Datendatei vorhanden ist. Zudem wird der vorhandene Code der Partitionstabelle durch einen neuen ersetzt, der Virenabwehr-Funktionen besitzt. Der Original-Partitionscode wird in einer Datei gespeichert. Starten Sie TbUtil von einem Disketten- laufwerk aus oder spezifizieren Sie den Dateinamen unter dem der Original-Partitionscode gespeichert werden soll. Das angegebene Lauf- werk sollte ein Diskettenlaufwerk sein. Falls die Original-Partitionstabelle so zerstört ist, daß sie für die Erstellung einer neuen unbrauchbar ist, sucht TbUtil im Stan- dardlaufwerk nach Informationen über die ursprüngliche Diskbele- gung. Es sucht sogar auf der Festplatte nach TbUtil-Datendateien. Wir raten Ihnen jedoch dringend, diese Datendatei auf einer Diskette zu speichern. Eine zusätzliche Kopie auf der Festplatte zu belassen, ist eine gute Idee - für alle Fälle! Wenn sich Ihre Systemkonfiguration ändert, d.h. wenn Sie Ihre DOS- Version updaten oder die Speichergröße ändern, müssen Sie auch die Informationen in der immunisierten Partition aktualisieren. Hierzu verwenden Sie einfach diese Option. Für den sehr unwahrscheinlichen Fall, daß Ihr System nicht mehr korrekt bootet, können Sie die Original-Partitionstabelle mit Hilfe der TbUtil- Option 'restore' oder durch Verwenden des DOS-Befehls 'FDISK /MBR' (erst ab DOS 5.0) wiederherstellen. Letzterer erstellt eine neue Partitionsta- belle. Arbeitet der neue Partitionscode hingegen einwandfrei, sollten Sie diesen mit der TbUtil-Option 'store' auf Diskette sichern. III - 52 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Startoptionen In der Befehlszeile können Sie Startoptionen spezifizieren. Diese können Sie als vollständiges Wort oder abgekürzt eingeben. Der besseren Verständlichkeit wegen werden die Wörter im vorliegenden Handbuch bevorzugt. Option Parameter Abk. Erläuterung ---------- --------- ---- --------------------------------------- immunize <Laufwerk> im = Immunisieren/Desinfizieren des Boot-/Masterbootrecords von <Laufwerk> store [<Dateiname>] st = Speichern der Systeminformation restore [<Dateiname>] re = Wiederherstellen der Systeminformation compare [<Dateiname>] co = Vergleichen der Systeminformation Unteroption der Option 'Immunize': norepeat nr = Keine weitere Diskette anfordern Unteroption der Option 'Store': description =<Beschr.> de = Beschreibung an Datendatei anfügen Unteroption der Option 'Restore': part pt = Wiederherstellen der Partitionstabelle boot bo = Wiederherstellen des Bootsektors of HD??? cmos cm = Wiederherstellen des CMOS Im folgenden werden diese Startoptionen kurz erläutert. immunize diskette <drive> (im) Mit dieser Option können Sie Disketten von Bootsektor-Viren befreien. Sie können sie aber auch dazu verwenden, den Standard-Bootsektor einer Diskette durch einen dem Original-Bootsektor überlegenen zu ersetzen: - Er ist in der Lage Viren zu erkennen. Der Bootsektor prüft selbst, ob er sich noch auf dem richtigen Platz auf der Diskette befindet und daß der Interrupt 13h und/oder der 40h sich noch im ROM befinden. Damit lassen sich sogar Tarnkappen-Viren aufspüren. - Der TBAV-Bootsektor ist in der Lage, die Systemdateien zu laden wenn sie auf der Diskette vorhanden sind. Befinden sich die DOS- Systemdateien jedoch nicht auf der Diskette, öffnet der TBAV- Bootsektor ein kleines Menü, das Ihnen zwei Auswahlmöglichkeiten bietet: Sie können den Bootvorgang mit einer anderen Diskette nochmal versuchen oder von der Festplatte booten. Entscheiden Sie sich für letzteres, ist es nicht notwendig die Verriegelung des Diskettenlaufwerks zu lösen. Immunize c: (im c:) 'Immunize' ist eine sehr leistungsfähige Option. Sie kann zum Desinfizieren einer virenbefallenen Partitionstabelle eingesetzt werden, wenn keine TbUtil-Datendatei vorhanden ist. Zudem wird der vorhandene Code der Partitionstabelle durch einen neuen ersetzt, der Virenabwehr-Funktionen besitzt. Der Original-Partitionscode wird in einer Datei gespeichert. Starten Sie TbUtil von einem Disketten- laufwerk aus oder spezifizieren Sie den Dateinamen unter dem der Original-Partitionscode gespeichert werden soll. Das angegebene Lauf- werk sollte ein Diskettenlaufwerk sein. III - 53 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Falls die Original-Partitionstabelle so zerstört ist, daß sie für die Erstellung einer neuen unbrauchbar ist, sucht TbUtil im Stan- dardlaufwerk nach Informationen über die ursprüngliche Diskbele- gung. Es sucht sogar auf der Festplatte nach TbUtil-Datendateien. Wir raten Ihnen jedoch dringend, diese Datendatei auf einer Diskette zu speichern. Eine zusätzliche Kopie auf der Festplatte zu belassen, ist eine gute Idee - für alle Fälle! Wenn sich Ihre Systemkonfiguration ändert, d.h. wenn Sie Ihre DOS- Version updaten oder die Speichergröße ändern, müssen Sie auch die Informationen in der immunisierten Partition aktualisieren. Hierzu verwenden Sie einfach diese Option. Für den sehr unwahrscheinlichen Fall, daß Ihr System nicht mehr korrekt bootet, können Sie die Origi- nal-Partitionstabelle mit Hilfe der TbUtil-Option 'restore' oder durch Verwenden des DOS-Befehls 'FDISK /MBR' (erst ab DOS 5.0) wiederher- stellen. Letzterer erstellt eine neue Partitionstabelle. Arbeitet der neue Partitionscode hingegen einwandfrei, sollten Sie diesen mit der TbUtil-Option 'store' auf Diskette sichern. store [<Dateiname>] (st) Diese Option speichert die Partitionstabelle, den Bootsektor und den CMOS-Datenbereich in der TbUtil-Datendatei. =>> Achtung! Da der PC für DOS absolut unzugänglich ist, wenn die Parti- tionstabelle beschädigt wurde, RATEN wir Ihnen DRINGEND, sowohl die TbUtil-Datendatei als auch das Programm TbUtil.Exe selbst, auf einer Diskette abzuspeichern! Es ist nicht gerade schön, wenn die Partitions- tabelle zerstört ist und die einzige Lösung für dieses Problems auf derselben nichtzugänglichen Disk liegt... Wenn Sie TbUtil von der Befehlszeile starten, müssen Sie hinter der 'store'-Option einen Dateinamen angeben. Erfolgt der Aufruf über das TBAV-Menü, können Sie den voreingestellten Dateinamen 'TBUTIL.DAT' ver- wenden. Falls Sie mehr als einen PC besitzen, ist es ratsam, eine TbUtil-Diskette anzulegen, auf der sich die Datendateien aller Ihrer PCs befinden. Setzen Sie dann die Dateinamens-Erweiterung zur Identi- fizierung des jeweiligen PCs ein: z.B.: a:TbUtil.<Nummer>. restore [<Dateiname>] (re) Mit der Option 'restore' können Sie die Partitionstabelle, den Bootsek- tor und den CMOS-Datenbereich wiederherstellen. Sie müssen bestätigen, daß die vorhandene TbUtil-Datendatei zu eben diesem Rechner gehört. Zu- letzt wird die Partitionstabelle, der Bootsektor jener Partition, die zum Booten verwendet wird und der CMOS-Datenbereich wiederhergestellt. compare [<Dateiname>] (co) Mit dieser Option können Sie prüfen, ob noch alles in Ordnung ist. Geben Sie diese Option an, vergleicht TbUtil die Informationen in der TbUtil-Datendatei mit der Partitionstabelle, dem Bootsektor und dem CMOS-Datenbereich. Zudem werden die Bemerkungen, die in der TbUtil- Datendatei gespeichert sind, angezeigt. Zuguterletzt können Sie durch Verwendung dieser Option sichergehn, daß Ihre TbUtil-Datendatei noch lesbar ist. III - 54 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III norepeat (nr) Nachdem Sie eine Diskette immunisiert haben, fordert Sie TbUtil ge- wöhnlich auf, eine weitere Diskette einzulegen. Mit der Option 'norepeat' wird dies unterdrückt. description <Beschreibung> (de) Geben Sie eine sinnvolle Beschreibung des Rechners ein. Beispiels- weise "AT 12MHz, 4MB, Raum 12, Herr Schmid". Sie müssen sich das also NICHT zu merken, TbUtil zeigt es Ihnen an, wenn Sie die Option 'compare' oder 'restore' wählen. Damit können Sie eine TbUtil- Datendatei problemlos dem richtigen Rechner zuordnen. part (pt) boot (bo) cmos (cm) Wenn Sie TbUtil mit der Option 'restore' aufrufen, wird automatisch der Partitionscode, der Bootsektor und das CMOS wiederhergestellt. Setzen Sie jedoch die Option 'restore' in Verbindung mit einer der Optionen 'part', 'boot' oder 'cmos' ein, restauriert TbUtil nur den so spezifizierten Teilbereich. Beispiele: TbUtil store TbUtil st TbUtil store A:TbUtil.Dat TbUtil store A:TbUtil.Dat description = "Test-Rechner" TbUtil compare A:TbUtil.Dat TbUtil restore A:TbUtil.Dat part cmos TbUtil immunize A: Type A:TbUtil.Dat Benutzung der Anti-Virus-Partition Wenn Sie den Thunderbyte-Partitionscode installieren (mit 'TbUtil immunize'), erscheinen beim Booten eines nicht-infizierten Systems folgende Meldungen: Thunderbyte anti-virus partition v5.00 (C) 1992 Thunderbyte BV. Checking bootsector CRC -> OK! Checking available RAM -> OK! Checking INT 13h -> OK! Befindet sich ein Virus im Bootsektor oder in der Partitionstabelle, wird folgende Meldung ausgegeben: Thunderbyte anti-virus partition v5.00 (C) 1992 Thunderbyte BV. Checking bootsector CRC -> OK! Checking available RAM -> Failed! System might be infected. Continue? (N/Y) III - 55 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Andere mögliche Meldungen sind "No system", was bedeutet, daß auf dem Laufwerk keine aktive Partition vorhanden ist, und "Disk error", was unterschiedliche Bedeutungen haben kann. Verwenden der TbUtil-Diskette Nehmen Sie eine neue Diskette und formatieren Sie diese so, daß Sie bootfähig ist (z.B. mit dem DOS-Befehl 'format /s'). Kopieren Sie dann die TbUtil-Dateien auf diese Diskette: copy tbutil.* a: Sie benötigen folgende TbUtil-Dateien: tbutil.exe tbutil.lng Lösen von Problemen Im Notfall, wenn beispielsweise die Partitionstabelle beschädigt oder infiziert sein sollte, booten Sie von der TbUtil-Diskette. Danach starten Sie TbUtil mit der Option 'immunize': a:\tbutil immunize c: 6.2. StackMan Der Zweck von StackMan Haben Sie jemals erlebt, daß sich Ihr Computer plötzlich aufgehängt hat? Haben Sie schon einmal zugesehen, wie ein Programm plötzlich mit viel Piepsen irgendwelchen Unsinn auf dem Bildschirm angezeigt hat? Haben Sie Ihren über Nacht arbeitenden Computer am nächsten Morgen schon einmal abgestürzt vorgefunden, obwohl das gleiche Programm tagsüber immer ohne Probleme gearbeitet hat? Haben Sie schon einmal die Meldung "Stack overflow" oder "Stapelüberlauf" an Ihrem Bild- schirm gesehen? Ist Ihr Computer schon einmal bei dem Versuch, ein speicherresidentes Programm (TSR) zu starten, abgestürzt? Läuft Ihr Computer nicht mehr zuverlässig, wenn Sie in der Datei config.sys die Zeile "Stacks=0,0" eintragen? Funktionieren manche Programme nicht, während bestimmte Hintergrundprogramme speicherresident geladen sind? Wenn Sie alle diese Fragen mit "Nein" beantworten können, dann wird Ihnen der Stack-Manager StackMan keinen Nutzen bringen. Wenn Ihnen jedoch manchmal so etwas passiert, könnten "Stack overflows", also Stapel-Über- läufe, die Ursache dafür sein. Oft können diese Probleme durch Einfügen der Anweisung "Stacks=9,256" in der Datei config.sys beseitigt werden. Manchmal aber nicht. Auf jeden Fall verbraucht die Anweisung "Stacks=" wertvollen Speicherplatz. Auch ist es schwer, die richtigen Zahlenwerte zu finden. In den meisten Anleitungen ist die Verwendung dieses Befehls nicht sehr gut erklärt, weshalb nur wenige Computerbenutzer seinen Zweck und seine Anwendung verstehen. III - 56 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Was ist ein Stack? Ein Stack ist ein Pufferspeicher, den manche Programme verwenden, und der Prozessor selbst speichert kurzzeitig Daten in ihm ab. Die Daten werden dabei wie auf einem Stapel aufeinander abgelegt und in umge- kehrter Reihenfolge wieder heruntergeholt. Alle Programme richten sich ihren eigenen Stapelspeicher ein, wenn sie ausgeführt werden. Speicherresidente Hintergrundprogramme müssen den Stack des jeweiligen Vordergrundprogrammes mitbenutzen. Immer wenn Sie eine Taste drücken, löst der Tastaturprozessor einen Interrupt, eine Unterbrechung des Hauptprozessors aus, um den Tastendruck an ihn weiterzuleiten. Bei jedem Uhrtick wird der Prozessor unterbrochen, um die Systemuhr weiter- zustellen. Für jeden solchen Interrupt wird etwas Platz des Stapel- speichers benötigt. Wie kommt es zu Fehlern? Manchmal erreicht eine Tastaturunterbrechung, ein Uhrtick und vielleicht noch ein Interrupt fast gleichzeitig den Haupt-Prozessor. Dies passiert nicht oft, aber wenn das passiert, benötigen alle diese Ereignisse gleichzeitig etwas Speicherplatz. Läuft der Stapel dann über, hängt sich der Computer auf. Und wie Sie sich denken können, ist dieses zufällige Aufeinandertreffen von Ereignissen schwer zu reproduzieren... Obwohl es empfehlenswert ist, einem Programm genügend Stapelspeicher zur Verfügung zu stellen, machen viele Programmierer den Stack vor allem bei Programmen, die speicherresident sein sollen, sehr klein, um Speicherplatz zu sparen. Natürlich können speicherresidente Programme einen eigenen temporären Stack einrichten, sobald sie aktiviert werden, aber bevor sie dies tun können, benötigen sie für ihren eigenen Aufruf selbst etwas Platz auf dem Stapelspeicher des im Vordergrund laufenden Programmes. Die Stacks der speicherresidenten Programme sind aus ver- ständlichen Gründen auch oft sehr klein. Wenn Sie mehrere speicher- residente und/oder im Hintergrund laufende Programme geladen haben, kann der Stack in manchen Fällen zu klein sein. Um diese Probleme zu verhindern, kann DOS einen Vorrat an Stapel- speichern bereitstellen, um einen davon zu verwenden, wenn ein Hard- ware-Interrupt ausgelöst wird. Mit der Angabe von Stacks in der Datei config.sys können Anzahl und Größe dieser Stacks kontrolliert werden. Die DOS-Stacks haben jedoch einige Nachteile, weshalb das Programm StackMan entwickelt wurde. StackMan besitzt die gleiche Funktionalität wie der DOS-Befehl "stacks", bietet aber außerdem folgende Vorzüge: Wenn Sie DOS 5.0 oder eine spätere Version einsetzen, kann StackMan in den hohen Speicherbereich und/oder in die HMA geladen werden. DOS hinge- gen verwendet immer einen Teil des konventionellen Speicherbereichs. Mit StackMan können sie 1.5KByte Speicher einsparen. Die Parameter von StackMan sind flexibler. Sie können auch nur einen III - 57 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Stack-Bereich verwenden, wenn dies ausreicht. Das Minimum bei DOS sind acht. StackMan kann geladen werden, nachdem Ihre speicherresidenten Programme geladen wurden. Dies führt dazu, daß die residenten Programme die Stapel- speicher verwendet, die StackMan zur Verfügung stellt. Die DOS-Stacks sind dagegen nur für die DOS- und BIOS-Funktionen verfügbar. Speicherre- sidente Programme verwenden den Stack des im Vordergrund laufenden Pro- grammes, und wenn das Probleme verursacht, kann der DOS-Befehl stacks nicht helfen. Der DOS-Befehl stacks bietet dem Benutzer eine Art Roulett: Der einzige Weg um die richtigen Zahlenwerte für die Parameter zu finden, ist der Weg von Versuch und Irrtum. StackMan dagegen kann einen Bericht anzeigen, mit dem es einfach ist, die nötige Anzahl und Größe an Stapelspeichern für Ihr spezielles System zu finden. Es ist kein Problem, die Stacks genau für Ihre System-Konfiguration zu optimieren. Manchmal scheinen die DOS-Stacks zu verschwinden. Auch wenn dies durch einen Fehler in einem der speicherresidenten Programme oder im Vorder- grundprogramm verursacht wurde, so ist die DOS-Meldung "Stapelüberlauf. Ihr System wurde angehalten" sehr unerfreulich. Dieser Fehler tritt näm- lich nicht sofort auf, sondern erst kurz nachdem das fehlerhafte Programm den Stapelspeicher zerstört hat. StackMan dagegen bemerkt die Zerstörung des Stacks und rekonstruiert ihn, ohne das laufende Programm abzubrechen. Auch wenn StackMan als Ersatz für den DOS-Befehl 'stacks' verwendet werden kann, hat es folgende zusätzliche Vorteile: In manchen Fällen können die speicherresidenten Programme zur Verwaltung des Interrupts 21h den zur Verfügung stehenden Stapelspeicherplatz über- fordern, vor allem wenn Sie ein Programm verwenden, das einen zu kleinen Stack eingerichtet hat, wie es bei einigen populären Swap-Programmen vor- kommt. Diese Programme mögen sich auf dem Computer des Programmentwick- lers fehlerfrei gezeigt haben, trotzdem können viele andere Benutzer Pro- bleme damit bekommen. StackMan kann eingesetzt werden, um jederzeit für DOS einen normalen Stack zur Verfügung zu haben. Um sicher zu sein, müßten alle speicherresidenten Programme einen eigenen Stack einrichten, aber das würde bedeuten, daß jedes von ihnen nur dafür etwas mehr Speicher belegen würde. Wenn nur 1% aller Benutzer diesen Stack benötigt, und alle anderen Computer ohne diesen Stack funktionie- ren, wäre es nicht besonders sinnvoll, in allen Fällen jedem Programm ei- nen eigenen Stack zur Verfügung zu stellen. StackMan wurde dafür entwickelt, Stack-Anforderungen von TSR-Programmen zu verwalten und diese Probleme zu lösen. Viele speicherresidente Pro- gramme können die von StackMan bereitgestellten Stacks gemeinsam verwen- den. Der Stack steht zur Verfügung, wenn ein speicherresidente Programm aktiviert wird, und wird wieder gelöscht, wenn das Programm die Kontrolle über das System wieder abgibt. Das spart natürlich Speicherplatz... Benutzung von StackMan Vor der Benutzung von StackMan wird empfohlen, die Anweisung "Stacks=0,0" in die Datei config.sys aufzunehmen. Andere Zahlenwerte (oder etwa die III - 58 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Standardwerte) zu verwenden, führt nur dazu, daß DOS wertvollen Speicher- platz verschwendet. Die Syntax für den Aufruf von StackMan ist: StackMan [[=] <Stack-Anzahl>,<Stack-Größe>] [<Optionen...>] Der beste Platz für den Aufruf von StackMan ist am Ende der Datei autoexec.bat. Auf diese Weise verwenden die speicherresidenten Pro- gramme automatisch die von StackMan zur Verfügung gestellten Stacks. Falls erwünscht, kann StackMan in den hohen Speicherbereich geladen werden (loadhigh, ab DOS Version 5.0). Zum ersten Ausprobieren wird die Verwendung sehr großer Zahlenwerte empfohlen, wie etwa: StackMan = 18,384 Nun verwenden Sie Ihren Computer wie gewöhnlich und probieren, ob bisherige Probleme vermieden werden können. Verwenden Sie alle speicher- residenten Programme die Sie haben, aktivieren Sie möglichst viele davon gleichzeitig. Verwenden Sie beispielsweise Ihr Modem, Ihre Maus usw. Es ist nicht erforderlich, große Programme auszuführen, da diese ihren eigenen großen Stack haben, und damit die Ergebnisse von StackMan nicht beeinflussen. Rufen Sie StackMan noch einmal auf. Sie sehen eine Meldung wie diese: ┌─────────────────────────────────────────────────────────────┐ │ │ │ StackMan already installed, with 18 stacks of 384 bytes. │ │ Maximum stacks/space ever used: 6 stacks of 112 bytes. │ │ │ └─────────────────────────────────────────────────────────────┘ Sie können nun die Zahlenwerte hinter dem ersten Aufruf von StackMan verringern. Sie sollten dabei ein wenig Spielraum nach oben einberechnen. Besondere Vorkommnisse sind schwer zu wiederholen. In dem oben gezeigten Beispiel wurden 6 Stacks einer maximalen Größe von 112 Bytes festge- stellt. Zuverlässig wäre in diesem Fall beispielsweise "StackMan=8,192". Wenn der erste von StackMan gemeldete Wert kleiner oder gleich 3 ist, und der zweite Wert nicht über 48 hinausgeht, können Sie Ihren Computer ganz ohne StackMan benutzen. In anderen Fällen können unwahrscheinliche Vor- kommnisse Ihren Computer abstürzen lassen und Sie sollten StackMan ver- wenden, um auch selten auftretende Probleme zu verhindern. Ab und zu ist es empfehlenswert, die Ausgabe von StackMan auzuschauen, um die Einstellungen zu optimieren und wachsenden Anforderungen an Stacks Ihres Systems zuvorzukommen. Wenn auch weiterhin einige der Probleme bestehen bleiben, können Sie ver- suchen, ob die Option -dos Ihnen weiterhelfen kann. Geben Sie folgende Befehlszeile ein, nachdem Sie den Computer neu gestartet haben: StackMan = 18,384 -dos -noirq Die Meldung von StackMan muß nun anders betrachtet werden: Der erste III - 59 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III Wert zeigt immer die maximal zur Verfügung stehende Stack-Anzahl an, nur der zweite Wert, wieviel Platz die Stacks verbraucht haben, ist zuver- lässig. Wenn dieser Wert 48 überschreitet, sollten Sie erwägen, die Option -dos von StackMan zu verwenden. Wenn der erste Test zeigt, daß Sie StackMan auf jeden Fall verwenden müssen, sollten Sie die Option -noirq entfernen. Wenn nur DOS StackMan braucht, können Sie ihn beibehalten. Bei der Verwendung der Option -dos sollten zwei Stacks mehr eingerichtet werden, als Sie beim ersten Test ermittelt haben. Startoptionen Folgende Optionen können verwendet werden: -help Diese Option zeigt einen kleinen Hilfetext am Bildschirm. -dos Diese Option bewirkt, daß StackMan vor dem Aufruf von DOS einen frischen Stack bereitstellt. Dies kann Probleme verhindern, vor allem, wenn diese beim Starten oder Beenden von Programmen oder in Verbindung mit Shell-Programmen auftreten. -noirq Wenn Sie diese Option verwenden, so schaltet StackMan den Stack nicht um, wenn ein Interrupt auftritt. StackMan unterstützt dann nur noch die Option -dos und die gemeinsame Verwendung der Stacks von speicherresidenten Programmen, die für die Zusammenarbeit mit StackMan programmiert wurden. -hma Diese Option steht nur zur Verfügung, wenn DOS 5.0 oder eine spätere Version verwendet wird und DOS in die HMA geladen wird. (Dies wird mit der Anweisung "dos=high" in der Datei config.sys erreicht.) Die Option -hma kann nicht in Verbindung mit der Option -dos eingesetzt werden. StackMan wird mit der Option -hma angewiesen, die Stacks in dem von DOS nicht belegten Teil der HMA unterzubringen. Obwohl dies konventionellen Speicher spart, sollten Sie sehr gründlich Überprüfen, ob Ihr System diese Ver- wendung der HMA von StackMan erlaubt. III - 60 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV KAPITEL IV. INFORMATIONEN FÜR FORTGESCHRITTENE ANWENDER 1. Speicheranforderungen Benötigter freier Speicherplatz: mind. mind. zum nach der Laden: Ausführung TbScan 200 Kb TbScanX 10 Kb 800 bytes TbCheck 4 Kb 600 bytes TbUtil 64 Kb TbClean 96 Kb TbMem 4 Kb 600 bytes TbFile 5 Kb 2 Kb TbDisk 4 Kb 800 bytes TbDriver 5 Kb 3 Kb TbGarble 4 Kb 600 bytes Sollten Sie sich für den Gebrauch einer Protokolldatei entscheiden, benö- tigt TbScan zusätzlich 16 KB Speicherplatz für den Protokolldatei-Puffer. Wenn TbScan sein eigenes Dateisystem benutzt, benötigt es weiteren Spei- cherplatz, um die Dateizuordnungstabelle im Speicher zu verwalten. => Beachten Sie, daß der Speicherplatzbedarf unabhängig von der Anzahl der Signaturen ist. Ohne die derzeit benötigte Speichermenge erhöhen zu müs- sen, könnten mindestenes 2500 Signaturen verwaltet werden. Der von TbScanX benötigte Speicherplatz hängt von der Anzahl der Sig- naturen ab. Werden alle Fähigkeiten von TbScanX aktiviert benötigt es 30 Kbyte um nach 1000 Familien-Signaturen zu suchen. Wenn Sie das Aus- lagern wählen, benötigt TbScanx nur 1 Kbyte Speicher. Auslagerung ist sowohl in den EMS- als auch den XMS-Speicher möglich. Das verbleibende 1 Kbyte kann natürlich in den Hohen Speicher geladen werden. Bei der heuristischen Virenbeseitigung benötigt TbClean viel mehr Spei- cher, abhängig von der Größe der infizierten Datei. TbClean kann eben- falls Expanded Memory (EMS) nutzen. Reduzierung des Speicherbedarfs Die meisten PC-Benutzer versuchen, soviel freien DOS-Speicherplatz wie möglich zu behalten. Die speicherresidenten TBAV-Utilities (TbScanX, TbCheck, TbMem, TbFile, TbDisk und TbDriver) sind so programmiert, daß nur ein Mindestmaß an Speicherplatz belegt wird. Um den Speicherbedarf noch weiter einzuschränken, können Sie folgendes versuchen: IV - 1 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Laden Sie das Programm von der Config.Sys aus. Als Gerätetreiber mit "device=" geladen, hat das Programm kein Program Segment Prefix (PSP), wodurch Sie bei jedem TBAV-Utility 256 Byte sparen. Werden die TBAV-Utilities in der Autoexec.Bat aufgerufen, sollte dies vor der Definition der Umgebungsvariablen geschehen. DOS legt für jedes speicherresidente Programm eine Liste der Umgebungsvariablen an. Werden die Umgebungsvariablen nach dem Aufruf der speicherresidenten Programme definiert, wird kein weiterer Speicherplatz belegt. Benutzen Sie die Speicherauslagerung Durch Verwendung einer der Optionen 'ems' oder 'xms' kann TbScanX sich selbst außerhalb des konventionellen Hauptspeichers installieren, so daß nur 1 KByte an Programmcode im DOS-Speicher verbleibt. Das Auslagern in den EMS-Speicher ist vorzuziehen. Wenn Sie DOS 5.0 oder eine neuere Version verwenden, so versuchen Sie, TbScanX in den hohen Speicherbereich (UMB) zu laden. Verwenden Sie hier- zu "loadhigh" in der autoexec.bat oder "devicehigh" in der config.sys. Um den Speicherbedarf im hohen Speicherbereich einzuschränken, ist es empfehlenswert, das Auslagern zu verwenden. Verwenden Sie die Prozessor-spezifische Version des jeweiligen TBAV- Utilities. Diese speziellen Versionen verwenden alle weniger Speicher- platz als die allgemeinen Versionen. Die für bestimmte Prozessoren opti- mierten Versionen sind in den von Thunderbyte unterstützten Mailboxen erhältlich. IV - 2 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV 2. TbSetup 2.1. Hinweise zur Gestalt der Anti-Vir.Dat-Dateien Die Anti-Vir.Dat-Dateien befinden sich immer in demselben Verzeichnis wie die Programmdateien. Folglich befindet sich in jedem Verzeichnis Ihres Systems, das ausführbare Dateien enthält, eine eigene Anti-Vir.Dat-Datei. Einige der anderen Anti-Viren-Programme verfügen dagegen über eine ver- gleichbare Liste aller ausführbaren Dateien, die eine Art von 'Fingerab- drücken' der Dateien enthält. Diese 'Fingerabdrücke' befinden sich in einer einzigen, großen Datei, nicht in einzelnen kleinen Dateien in jedem Verzeichnis. Wir haben uns aus folgenden Gründen für Einzeldateien in ver- schiedenen Verzeichnissen entschieden: Eine Datei pro Verzeichnis ist leicht zu verwalten. Wollen Sie ein komplettes Produkt löschen, kann die dazugehörige Anti-Vir.Dat-Datei ebenfalls gelöscht werden. Die Informationsdatei benötigt weniger Platz, da die Pfadinformation nicht gespeichert werden muß. Die TBAV-Utilities arbeiten schneller, da sie nicht in einer großen Datei nach Informationen über eine bestimmte Datei suchen müssen. Die Installation in Netzwerkumgebungen ist einfacher und zuverlässiger. In Netzwerken ist es nicht ungewöhnlich, daß die gleichen Dateien an ver- schiedenen Arbeitsplätzen unterschiedlichen Laufwerksbezeichnungen zuge- ordnet sind. TBAV muß nicht unter diesem Problem leiden. In einer einzi- gen Informationsdatei, die das gesamte System abdeckt, müssen die Lauf- werksbezeichnungen ebenfalls gespeichert werden. Daher müßte jeder Ar- beitsplatzcomputer seine eigene Liste verwalten, und der Systembetreuer würde die Kontrolle verlieren. 2.2. Format der TbSetup.Dat Das Editieren der TbSetup.Dat-Datei ist für eine Anlagen-spezifische In- stallation von TBAV sehr hilfreich (siehe IV-5). Daher sind einige Infor- mationen zum Format dieser Datei notwendig. Die TbSetup.Dat-Datei ist sehr einfach aufgebaut. Jede Zeile, die mit einem Semikolon (`;`) oder einem Prozentzeichen (`%`) beginnt oder die leer ist, wird als Kommentar- zeile behandelt. Die Dateien, die mit einem Prozentzeichen beginnen, wer- den von TbSetup im unteren Fenster auf dem Bildschirm angezeigt. Jeder Eintrag in der TbSetup.Dat Datei besteht aus vier Punkten: Der Dateiname. Er sollte in Großbuchstaben geschrieben sein und keine Leerstellen enthalten. Die Dateilänge im Hexadezimalsystem. Dieses Feld kann einen Platzhalter (`*`) enthalten, wenn keine exakte Dateilängenüberprüfung erforderlich ist. IV - 3 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Die 32-Bit-CRC-Prüfsumme der Datei im Hexadezimalsystem. Auch dieses Feld kann einen Platzhalter (`*`) beinhalten, wenn keine exakte Prüf- summenüberprüfung erforderlich ist. Die Hexadezimalzahl, die die Flags darstellt, die gesetzt werden sollen, wenn die Datei im System gefunden wird. Alle weiteren Zeilen stehen für Kommentare zu Verfügung: Folgende Flags (Markierungen) sind möglich: Bit 0: (0001) Die heuristische Analyse wird nicht durchgeführt. Bit 1: (0002) CRC-Veränderungen ignorieren (selbstmodifizierend) Bit 2: (0004) Prüfe alle Signaturen (LAN-Bootdatei-Abbilder) Bit 3: (0008) Read-Only-Attribut darf nicht verändert werden Bit 4: (0010) Das Programm wird speicherresident geladen Bit 5: (0020) Das Programm verwendet direkte Laufwerkszugriffe Bit 6: (0040) Das Programm darf Read-Only-Attribute löschen Bit 15: (8000) Ein erneutes Interrupt-Einhaken von TbDriver ist notwendig So können die Einträge in der TbSetup.Dat aussehen: ; Dateiname Länge 32-Bit CRC Flags Kommentare ; Dateien, die den heuristischen Alarm von TbScan auslösen 4DOS.COM 19FEA * 0001 ;4Dos 4.0a AFD.COM 0FEFE 4B351A86 0001 ;AFD Debugger ARGV0FIX.COM 001D8 431E70C0 0001 ;Argv[0]fix EXE2COM.EXE 00BEA 49276F89 0001 ;Exe zu Com Konvertierungsutility KILL.EXE 00632 74D41811 0001 ;PcTools 6.0 Utility WATCH.COM 003E1 2353625D 0001 ;TSR-Überwachungs-Utility ; Dateien, die vollständig gescannt werden müssen, auf ALLE Viren: NET$DOS.SYS * * 0004 ;Abbild der Novell-Boot-Diskette ; Dateien ohne definierte Prüfsumme, selbstkonfigurierende Programme: Q.EXE * * 000A ;Qedit (alle Versions) TBCONFIG.COM * * 000A ;alle Versionen Neue Einträge vornehmen Wenn Sie Dateien besitzen, die in die Liste aufgenommen werden sollen, so informieren Sie uns bitte darüber! Wir hätten gerne eine Kopie dieser Dateien, um unsere Produkte ständig an die aktuellen Erfordernisse an- passen zu können. Sollten Sie auf ein Programm stoßen, daß den Alarm der heuristischen Analyse von TbScan auslöst, so könnte dies bereits ein Hin- weis auf eine solche Datei sein. Haben Sie die Option "V)alidate Program" im Alarmfenster von TbScan verwendet, wird TbSetup beim nächsten Mal den Wert `0001` als Flag anzeigen. Wenn Sie in einer Firma beschäftigt sind, in der auf mehreren Rechnern mehrere dieser Dateien installiert sind, können Sie sie in die TbSetup.Dat-Datei eintragen. Dazu starten Sie TbSetup und notieren sich die Dateilänge und 32-Bit-CRC-Prüfsumme, die am Bildschirm angezeigt wird. Fügen Sie die Werte in ihre Felder hinter IV - 4 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV dem dazugehörenden Dateinamen in die TbSetup.Dat-Datei ein. Fügen Sie nun den Flag-Wert hinzu und starten Sie TbSetup noch einmal, um heraus- zufinden, ob das Programm die Dateien nun richtig erkennt. => Beachten Sie: Wollen Sie ein Flag von Hand setzen oder löschen, so kön- nen Sie dies von der DOS-Befehlszeile aus tun, indem Sie die Optionen `set` bzw. `reset` verwenden: TbSetup TEST.EXE SET=0001 2.3. TBAV-Installation auf mehreren Rechnern Sollten Sie TBAV auf vielen Rechnern innerhalb einer Firma zu instal- lieren haben, wäre es ermüdend, müßten Sie beispielsweise jedes einzel- ne TSR und jedes Disk-Utility auf jeder Maschine extra aufrufen, um TBAV beizubringen, welche Programme zulässig sind und welche nicht. Glücklicherweise ist dies nicht erforderlich. In diesem Abschnitt wer- den drei Beispiele präsentiert, die Ihnen zeigen, wie Sie die Instal- lation auf mehreren Rechnern vereinfachen können. 1. Soll ein speicherresidentes Programm mit dem Namen TSRUTIL.EXE überall in der Firma benutzt werden soll, verwenden Sie TbSetup, um die Datei- länge und die Prüfsumme (CRC) festzulegen. Nun können Sie den Namen des Programms mit den anderen Informationen in die Datei TbSetup.Dat eintragen, erweitert um den Wert '0010'. Beispiel: TSRUTIL.EXE 01286 E387AB21 0010 ;Unser TSR-Utility 2. Wenn beispielsweise ein Programm mit dem Namen DISKUTIL.EXE überall in der Firma installiert werden soll, verwenden Sie TbSetup, um die Dateilänge und die Prüfsumme (CRC) festzulegen. Nun können Sie den Namen des Programms mit den anderen Informationen in die Datei TbSetup.Dat eintragen, erweitert um den Wert '0020'. Beispiel: DISKUTIL.EXE 01286 E387AB21 0020 ;Unser DISK-Programm Wenn Sie jetzt TbSetup auf jedem Rechner ausführen (was Sie sowieso tun müssen), wird es das Utility erkennen und für dieses das entsprechende Flag für 'direkte Laufwerkszugriffe' setzen, so daß TbMem / TbDisk dies beim nächsten Aufruf des entsprechenden Programms erkenne und keinen Fehlalarm mehr auslösen. 3. Wenn ein Utility, das z.B. den Namen UTIL.EXE trägt, im ganzen Be- trieb eingesetzt wird, und dieses Programm TbScan zu einer Falsch- anzeige veranlaßt, können Sie TbSetup vorgeben, die heuristische Analyse für dieses Programm zu unterlassen. Tragen Sie den Namen dieses Programms zusammen mit den anderen Informationen in die Datei TbSetup.Dat ein, erweitert um den Wert '0001' IV - 5 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Beispiel: UTIL.EXE 01286 E387AB21 0001 ;Unser utility Wenn Sie jetzt TbSetup auf jedem Rechner ausführen (was Sie sowieso tun müssen), wird es das Utility erkennen, und TbScan wird dieses nicht mehr der heuristischen Analyse unterziehen. Sehen Sie hierzu auch in der TbSetup.Dat-Datei nach. IV - 6 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV 3. TbScan 3.1. Die heuristische Suche TbScan bietet mehr als ein einfacher Signaturen-Scanner. TbScan dis- assembliert die Datei während der Überprüfung. Das hat folgende drei Vorteile: 1) Durch das Disassemblieren der Datei, also das Zurückübersetzen der Programmdatei in ihre Programmierbefehle, kann der Scanner die Stellen der Datei herausfinden, an denen sich ein Virus befinden könnte. Damit kann die Wahrscheinlichkeit von Fehlalarmen reduziert und die Ge- schwindigkeit erhöht werden. 2) Es wird eine Algorithmendetektion möglich, mit der auch Viren gefunden werden können, die sich selbst verschlüsseln, und deren Signaturen dem Scanner ansonsten verborgen blieben. 3) Es wird möglich, verdächtige Instruktionsabfolgen im Programmcode zu entdecken. Das Verfahren, mit dem verdächtige Instruktionssequenzen gefunden werden können, wird als 'heuristische Suche' bezeichnet. Es ist ein ausgespro- chen leistungsfähiges Verfahren, mit dessen Hilfe Sie neue oder modifi- zierte Viren entdecken und die Ergebnisse der Signaturenüberprüfung bestätigen können. Damit müssen Sie sich nicht darauf verlassen, daß der Händler Ihres Virenscanners den Virus kennt, den Sie vielleicht haben. Normalerweise kann ein Scanner Viren nur dann entdecken, wenn der Her- steller eine Exemplar des Virus besitzt, um eine entsprechende Signatur erstellen zu können. Mit der heuristischen Suche sind Signaturen nicht nötig, denn der Scanner entdeckt auch die Viren, die dem Hersteller nicht bekannt waren. Sie sollten die Bedeutung der heuristischen Suche nicht unterschätzen, da jeden Monat mindestens 50 neue Viren auftauchen. Und es ist es mehr als unwahrscheinlich, daß gerade die Hersteller von Virenscannern die ersten sind, die diese neuen Viren erhalten ... Heuristische Suche Stufe 1 Heuristische Suche Stufe 2 ------------------------------- ---------------------------- Immer eingeschaltet Nur mit Option 'heuristic' oder nach Entdecken eines Virus. Entdeckt 50% unbekannter Viren Entdeckt 90% aller Viren Erzeugt fast nie falschen Alarm Erzeugt wenige falsche Alarme Anzeige: 'wahrscheinlich infiziert' Anzeige: 'möglicherweise infiziert ' TEST.EXE <scanning...> OK (keine Abkürzugen) TEST.EXE <scanning...> R OK (nichts Wichtiges) TEST.EXE <scanning...> FRM möglicherweise infiziert von einem unbekannten Virus (erreicht Stufe 2) TEST.EXE <scanning...> FRALM# wahrscheinlich infiziert von einem unbekannten Virus (erreicht Stufe 1) Wie wird bei der heuristischen Suche nun tatsächlich vorgegangen? Jedes IV - 7 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Programm enthält Befehle für den Prozessor Ihres PCs. Indem TbScan den Inhalt der Dateien untersucht und sie interpretiert, kann das Programm den Zweck der Instruktionen erkennen. Sollte der Zweck der Programm- anweisungen darin bestehen, Disketten zu formatieren oder Dateien zu infizieren, so wird TbScan eine Warnung ausgeben. Es gibt einige Instruk- tionsabfolgen, die für Viren ausgesprochen typisch sind, aber in normalen Programmen sehr unüblich sind. Jeder verdächtigen Instruktionsabfolge wird ein Buchstabe zugeordnet: eine Abkürzung für das Ergebnis der heu- ristischen Suche. Diesen Ergebnissen sind Zahlenwerte zugeordnet, die aufsummiert werden. Sobald die Gesamtzahl eine bestimmte Grenze über- schreitet, geht TbScan davon aus, daß die Datei einen Virus enthält. Es gibt zwei verschiedene Grenzwerte: Die erste ist relativ niedrig ange- setzt und kann daher auch von ganz normalen Programmen relativ schnell erreicht werden. Sobald diese Grenze erreicht ist, hebt TbScan die am Bildschirm angezeigten abgekürzten Meldungen der heuristischen Analyse hervor und erhöht den Zähler der 'suspected items' (verdächtige Einträ- ge). Wenn Sie die Option 'heuristic' nicht angegeben haben, meldet TbScan jedoch keinen Virus. Haben Sie die Option 'heuristic' angegeben, er- scheint die Meldung: 'möglicherweise infiziert von einem unbekannten Virus'. Die zweite Grenze wird von vielen Viren erreicht, aber nicht von normalen Programmen. Sobald diese Grenze erreicht wird, gibt TbScan die folgende Meldung aus: 'wahrscheinlich infiziert von einem unbekannten Virus'. => Beachten Sie: Da TbScan die heuristische Analyse nur in der Nähe der Ein- sprungstelle einer Datei durchführt, bemerkt das Programm nicht, daß man- che Disketten- und Festplattenutilities direkt auf den Datenträger schreiben und daß manche Programme TSR-Programme sind. Dies ist das Er- gebnis unserer Bemühungen, mögliche Fehlalarme zu vermeiden. Im Falle eines Virus befinden sich die schädliches bewirkenden Instruktionen immer in der Nähe der Einsprungstelle (ausgenommen, ein Virus ist größer als 10 KByte), so daß TbScan die verdächtigen Befehle normalerweise findet. 3.2. Integritätsprüfung Während des Scanvorgangs führt TbScan zusätzlich eine Integritätsprüfung durch. Rufen Sie TbSetup auf, um die Anti-Vir.Dat-Dateien zu erzeugen. Wenn diese Dateien in den Verzeichnissen Ihres Systems existieren, kontrolliert TbScan, ob die Informationen jeder gescannten Datei mit den in der Anti-Vir.Dat-Datei gespeicherten Informationen übereinstimmen. Durch eine Vireninfektion verändert sich eine Datei, und die gespeicherte Information stimmt nicht mehr mit der veränderten Datei überein. TbScan meldet dies. Es gibt keine Startoption, die diese Integritätsprüfung einschaltet: Wenn TbScan eine Anti-Vir.Dat-Datei findet, so wird die Integritätsprüfung automatisch durchgeführt. TbScan zeigt nur Meldungen an, die auf eine Vireninfektion hinweisen. Programme, die ihre Konfiguration in der Programmdatei selbst speichern, werden normalerweise nicht gemeldet. Wenn eine Datei jedoch von einem Virus befallen wurde, egal ob dieser bekannt oder unbekannt ist, werden dadurch lebenswichtige Teile der Datei verändert, und TbScan meldet Ihnen das zuverlässig! IV - 8 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Dennoch ist es möglich, daß sich die überprüfte Datei selbständig oder aus anderen Gründen regelmäßig verändert. In diesem Fall können Sie das Programm von einer Integritätsprüfung ausschließen, um zukünftige Fehl- alarme zu vermeiden. Dazu bietet Ihnen TbScan eine zusätzliche Menüoption an: 'V)alidation program' (Programm zulassen). Um weitere Informationen über diese Menüoption zu erhalten, lesen Sie bitte Seite 9 dieses Kapi- tels 'Programme zulassen' nach. 3.3. Programme zulassen Sie brauchen dieses Kapitel nur dann, wenn Sie mit TbSetup Anti-Vir.Dat- Dateien angelegt haben. Ohne diese Dateien ist das Zulassen von Dateien als Option nicht verfügbar. Mit den meisten Programmen arbeitet TbScan erwartungsgemäß. Trotzdem gibt es einige Programme, die zur Vermeidung von Fehlalarmen eine besondere Be- handlung erfordern. Die meisten dieser Programme werden von TbSetup auto- matisch erkannt. Möglicherweise haben Sie aber einige Programm-Dateien auf Ihrem System, die den heuristischen Alarm von TbScan auslösen und/oder die sich regelmäßig verändern. Sollte eine Infektion alleine aufgrund der heuristische Analyse oder der Integritätsprüfung gemeldet werden, und eine Anti-Vir.Dat-Datei verfügbar sein, so bietet Ihnen TbScan im Virus-Alarmfenster eine zusätzliche Option an: 'V)alidate program' Sollten Sie davon überzeugt sein, daß das angezeigte Programm tatsächlich keinen Virus enthält, können Sie durch Drücken der Taste 'V' in der Anti- Vir.Dat-Datei die Information ablegen, daß die Datei in Zukunft zuge- lassen ist. In Zukunft wird die Datei dann nicht mehr mit einem Fehlalarm gemeldet. Es gibt zwei Möglichkeiten, ein Programm für zulässig zu erklären: bezieht sich der TbScan Virenalarm auf eine Dateiveränderung, bezieht sich auch die Zulassung nur auf künftige Dateiveränderungen; bezieht sich der Virenalarm auf die heuristische Analyse, bezieht sich auch die Zulassung nur auf die Ergebnisse der heuristischen Analyse. Ist die Datei von der heuristischen Analyse ausgeschlossen, so wird ihre Prüfsumme immer noch analysiert; ist die Datei von der Integritätsprüfung ausge- schlossen, wird TbScan noch immer eine heuristische Analyse durchführen. => Wichtig: Haben Sie eine Datei ersetzt (z. B. durch eine neue Version, Software-Update, -Upgrade) ohne TbSetup erneut zu verwenden, wird TbScan Sie im Viren-Alarmfenster über die Dateiveränderung informieren. Wählen Sie in diesem Fall NIEMALS die Option für die Zulassung des Programms, denn dann wäre die Datei von jeder künftigen Integritätsprüfung ausge- schlossen. Sie brechen TbScan besser ab und starten TbSetup für die ver- änderten Dateien. 3.4. Die Algorithmen Sobald TbScan mit der Überprüfung einer Datei beginnt, erscheinen an IV - 9 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Ihrem Bildschirm hinter dem Dateinamen Meldungen wie 'Looking' (suchen), 'Checking' (prüfen), 'Tracing' (verfolgen), 'Scanning' (scannen) oder 'Skipping' (übergehen). 'Looking' (suchen) 'Looking' bedeutet, daß TbScan die Programmeinsprungstelle in einem Schritt erfolgreich lokalisieren konnte. Der Programmcode konnte erkannt werden, so daß TbScan ohne zusätzliche Analyse weiß, wo es suchen muß. 'Looking' wird bei den meisten Dateien verwendet werden, die zu bekann- ter Software gehören. 'Checking' (prüfen) 'Checking' bedeutet, daß TbScan die Programmeinsprungstelle erfolg- reich lokalisiert hat und nun einen Bereich von etwa 4 KByte um die Einsprungstelle scannt. Sollte die Datei infiziert sein, so befindet sich die Signatur des Virus in diesem Bereich. 'Checking' ist ein sehr schneller und zuverlässiger Scan-Algorithmus. 'Checking' wird bei den meisten Dateien verwendet werden, die nicht zu bekannter und weit- verbreiteter Software gehören. 'Tracing' (verfolgen) 'Tracing' bedeutet, daß TbScan erfolgreich eine Kette von Sprüngen oder Aufrufen nachvollzogen hat, wobei es die Einsprungstelle des Pro- gramms gefunden hat. Nun wird in einem Bereich von 4 KByte um die Ein- sprungstelle gescannt. Sollte die Datei infiziert sein, so befindet sich die Signatur des Virus in diesem Bereich. 'Tracing' wird haupt- sächlich für COM-Dateien benutzt, die TSR-Programme sind. Die meisten Viren veranlassen TbScan, den Tracing-Algorithmus einzusetzen. 'Scanning' (scannen) 'Scanning' bedeutet, daß TbScan beinahe die gesamte Datei scannt (abge- sehen vom Exe-Programmkopf, der keinen Virencode enthalten kann). Dieser Algorithmus wird dann eingesetzt, wenn 'Looking', 'Checking' oder 'Tracing' nicht sicher genug sind. Das ist der Fall, wenn sich in der Programmeinsprungstelle Sprünge und Aufrufe finden lassen, die sich auf Code außerhalb des Scanbereichs beziehen. Das ist aber auch dann der Fall, wenn während der heuristischen Analyse etwas gefunden wird, das einer genaueren Untersuchung bedarf. 'Scanning' ist ein langsamer Scan- Algorithmus. Da bei diesem Verfahren immer die gesamte Datei und damit auch alle Datenbereiche bearbeitet werden, können häufiger Fehlalarme auftreten. Der 'Scanning'-Algorithmus wird eingesetzt, um Bootsektoren, SYS- und BIN-Dateien zu scannen. 'Skipping' (übergehen) Die Meldung 'Skipping' erscheint bei SYS- und OVL-Dateien, was bedeutet, daß diese Dateien nicht gescannt werden. Da es viele SYS-Dateien gibt, die keinen Code enthalten (wie z.B. die CONFIG.SYS), ist es nicht sinn- voll, alle diese Dateien auf Viren zu prüfen. Das Gleiche gilt für .OV?-Dateien. Viele Overlay-Dateien verdienen diese Bezeichnung gar IV - 10 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV nicht, da ihnen der Exe-Programmkopf fehlt. Solche Dateien können von der DOS-Ebene aus nicht aufgerufen werden, was sie gegenüber direkten Virenangriffen genauso unverletzlich macht, wie es etwa .TXT-Dateien sind. Wenn die Infektion einer .OV?-Datei gemeldet wird, so handelt es sich um eine der wenigen Overlay-Dateien, die einen Exe-Programmkopf enthalten. Die Infektion war dann eine Folge des Überwachens des DOS- Exec-Aufrufs (Funktion 4Bh) durch den Virus, der damit die Programme und auch die echten Overlay-Dateien, die aufgerufen werden, infiziert. 3.5. Die TbScan.Lng-Datei In der TbScan.Lng-Datei sind alle Texte enthalten, die von TbScan ange- zeigt werden. Diese Meldungen können Sie mit jedem ASCII-Editor über- setzen oder an Ihre Bedürfnisse anpassen. Die Meldungen werden durch ein Dollarzeichen ($) voneinander getrennt. In der ersten Meldung finden Sie unsere Adresse und Registrierungshinweise. Sie können diesen Text bei Bedarf ändern, und z. B. das Logo Ihrer Firma hinzufügen. Sie können der TbScan.Lng-Datei auch Farbcodes hinzufügen. Dem Farbcode geht das Zeichen '|' voran. Es lassen sich folgende Farbcodes einstellen (alle Nummern werden hexadezimal angegeben): Farbe Vordergrund Hervorhebung Hintergrund Schwarz 00 08 00 Blau 01 09 10 Grün 02 0A 20 Cyan 03 0B 30 Rot 04 0C 40 Magenta 05 0D 50 Gelb/Braun 06 0E 60 Weiß/Grau 07 0F 70 Beispiel: Um einen leuchtend grünen Buchstaben auf rotem Hintergrund zu erzeugen, müßte der Farbcode 0A+40=4A verwendet werden. Damit der Buchstabe zusätzlich blinkt, muß dem Resultat der Wert 80h hinzugezählt werden. IV - 11 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV 4. TbClean Um zu verstehen, wie ein Virenbeseitigungs-Programm funktioniert, müssen Sie zuerst wissen, wie ein Programm von einem Virus infiziert wird. Das Grundprinzip ist einfach. Ein Virus - selbst ein Programm - hängt sich selbst an das Ende einer Programmdatei an. Durch das Hinzufügen des Virencodes wird die Programmdatei länger. Das alleine reicht jedoch noch nicht aus, der Virencode muß auch noch ausgeführt werden. Dazu über- schreibt der Virus die ersten Bytes der Datei mit einem 'Sprung'-Befehl, die den Prozessor veranlaßt, zu dem Virencode zu springen. Der Virus erhält so die Kontrolle, wenn das Programm aufgerufen wird und gibt nach Beendigung seiner Aktivitäten die Kontrolle an das Originalprogramm weiter. Da die ersten Bytes der Datei von dem 'Sprung'-Befehl über- schrieben worden sind, muß der Virus eben diese Bytes als erstes wieder- herstellen. Danach braucht er nur noch an den Anfang des Originalpro- gramms zurückzuspringen, das in den meisten Fällen wie gewohnt arbeitet. Um ein infiziertes Programm von einem Virus zu befreien, müssen die vom Sprungbefehl zum Virencode überschriebenen Bytes unbedingt wiederherge- stellt werden. Da der Virus diese Bytes ebenfalls wiederherstellt, müssen die Originalbytes irgendwo im Virencode gespeichert sein. Das Virenbesei- tigungsprogramm sucht nach diesen Bytes, bringt sie an ihren Original- platz zurück und reduziert die Datei auf ihre ursprüngliche Länge. Es gibt zwei Grundtypen von Virenbeseitigungsprogrammen: konventionelle, für spezifische Typen von Viren und die wesentlich höher entwickelten, die ein viel breiteres Anwendungsspektrum bieten. Im folgenden werden beide Typen erläutert und die Unterschiede herausgestellt. Konventionelle Virenbeseitiger Bei der konventionellen Virenbeseitigung muß das Programm wissen, welcher Virus zu löschen ist. Nehmen wir an, Ihr System wäre vom Jerusalem/PLO- Virus befallen. Sie rufen Ihr Virenbeseitigungsprogramm auf; folgendes könnte geschehen: IV - 12 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Originalprogramm Infiziertes Programm +--------------+ +--------------+ | P | 100: |Sprung | | r | |zu 2487 | | o | | o | | g | | g | | r | | r | | a | | a | | m | | m | | m | | m | | c | | c | | o | | o | | d | | d | | e | | e | | | | | +--------------+ +--------------+ 2487: | | | VIRUS! P | | r | |Sprung zu 100 | +--------------+ Der konventionelle Cleaner: "Hey, diese Datei ist vom Jerusalem/PLO-Virus befallen. Ok, dieser Virus hat eine Größe von 1873 Bytes und überschreibt die ersten drei Bytes des Originalprogramms mit einem Sprung zu sich selbst. Die Originalbytes befinden sich am Offset 483 des Virencodes. Ich habe also diese Bytes zu nehmen, sie an den Beginn der Datei zu kopieren, die letzten 1873 Bytes der Datei zu löschen. Das war's dann!" Es gibt einige Fallstricke in einem Szenarium wie dem geschilderten. Das Virenbeseitigungsprogramm muß den Virus kennen, den es löschen soll. Es ist ihm unmöglich, einen ihm unbekannten Virus zu löschen. Der Virus muß exakt dem Virus entsprechen, den das Virenbeseitigungsprogramm kennt. Stellen Sie sich vor, was passieren würde, wenn der Virus aus dem oben beschrieben Beispiel modifiziert worden wäre, und seine Größe nun 1869 statt 1873 Bytes betragen würde... Das Virenbeseitigungsprogramm würde zuviel löschen! Das ist keine Ausnahme, sondern passiert recht häufig, seit es so viele Mutanten gibt. Zum Beispiel besteht die Jerusalem/PLO- Virenfamilie aus mehr als 100 Mutanten. Umfassende Virenbeseitiger Ein umfassender Virenbeseitiger arbeitet nach dem Prinzip, daß jede Art von Virus - egal ob er in den "Signaturen-Charts" ist oder nicht - eine schlechte Neuigkeit ist. Aus diesem Grund arbeitet TbClean mit einem IV - 13 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV völlig anderen Desinfektionsschema, welches bei fast allen Viren effektiv ist - TbClean braucht sie nicht einmal zu kennen. TbClean repräsentiert zwei Virenbeseitiger in einem: einen wiederherstellenden und einen heu- ristischen. Wiederherstellende Virenbeseitigung Diese Art der Virenbeseitigung benötigt eine Anti-Vir.Dat-Datei, die vor der Infektion von TbSetup erstellt worden sein muß. In dieser Datei werden viele Informationen gespeichert, wie z. B. die ursprüng- liche Dateigröße, die Bytes am Programmbeginn, eine verschlüsselte Prüfsumme, um das Resultat zu überprüfen, usw. Diese Informationen reichen aus, um nahezu jede Datei von Viren zu befreien, unabhängig davon, ob die Infektion von einem bekannten oder unbekannten Virus verursacht wurde. Das einzige, was das Virenbeseitigungsprogramm zu tun hat, ist die Wiederherstellung der Bytes am Programmanfang, die Reduktion der Datei auf ihre ursprüngliche Größe und das Überprüfen des Ergebnisses anhand der Prüfsumme. Heuristische Virenbeseitigung TbClean ist das erste Virenbeseitigungsprogramm der Welt mit einer heuristischen Virenbeseitigungsmethode. Bei diesem Verfahren benötigt TbClean keinerlei Informationen über den Virus und auch keine Informa- tionen über das Programm in seinem ursprünglichen Zustand. Diese Metho- de ist besonders dann hervorragend, wenn Ihr Computer von einem unbe- kannten Virus befallen wurde, und Sie die Anti-Vir.Dat-Dateien mit TbSetup nicht rechtzeitig erstellt haben. Im heuristischen Modus lädt TbClean die infizierte Datei und emuliert dabei den Programmcode. Das Programm arbeitet mit einer Kombination aus Disassemblieren, Emulieren und manchmal auch Ausführen, um die Ar- beitsweise des Virus zu verfolgen, und dabei das nachzumachen, was sonst der Virus tut. Sobald der Virus die Originalinstruktionen wiederher- stellt und zum ursprünglichen Programmcode zurückspringt, unterbricht TbClean die Emulation und bedankt sich bei dem Virus für seine Hilfe bei der Wiederherstellung der ursprünglichen Bytes. Der nun wiederhergestellte Programmbeginn wird in die Programmdatei auf der Festplatte oder Diskette zurückkopiert, und der Teil des Pro- gramms, der die Kontrolle nach dem Programmstart übernehmen wollte, wird gelöscht. Um ganz sicher zu gehen, wird die 'gesäuberte' Programmdatei an- schließend einer zusätzlichen Analyse unterzogen. IV - 14 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV 5. TbGensig 5.1 Der Zweck von TbGenSig TbGenSig ist ein Programm, das eine Datei mit Signaturen zusammenstellen kann. Da die TBAV-Programme bei ihrem Vertrieb mit ihrer direkt verwend- baren Signaturen-Datei auf dem neueste Stand sind, brauchen Sie dieses Programm eigentlich gar nicht. Wenn Sie allerdings Ihre eigenen Viren-Signaturen erstellen möchten, brauchen Sie TbGenSig. Sie können hierzu veröffentlichte Signaturen ver- wenden oder Sie definieren eigene, wenn Sie mit der Struktur solcher Software genügend vertraut sind. In beiden Fällen brauchen Sie dies nur in Notfallsituationen zu tun, wenn nämlich Ihr Computer oder die Ihrer Firma von einem bisher unbekannten und bisher nicht erkannten Virus angegriffen wird. In diesem Fall ist es sehr zu empfehlen, einige Exemplare des Virus an Virenspezialisten zu senden, um die Virenscanner in die Lage zu versetzen, in der nächsten Version diesen neuen Virus zu erkennen. Es ist nicht möglich, in einem einzigen Handbuch alle Aspekte der Viren- jagd zu erklären, so daß dieser Text ausreichende Erfahrung und Kennt- nisse im Erstellen von Signaturen voraussetzt. TbGenSig sucht im aktuellen Verzeichnis nach der Datei 'UserSig.Dat'. Diese Datei sollte die Signaturen enthalten, die Sie der TBAV-Signaturen- Datei 'TbScan.Sig' hinzufügen möchten. TbGenSig überprüft den Inhalt der Datei UserSig.Dat und verwendet sie für die TbScan.Sig-Datei. Wenn Sie Ihre Signaturen verändern oder entfernen lassen möchten, müssen Sie nur die Datei UserSig.Dat verändern oder löschen und TbGenSig erneut aufrufen. TbGenSig gibt eine Liste aller Signaturen der TbScan.Sig-Datei am Bild- schirm aus. 5.2. Signaturen definieren Das Format der Datei UserSig.Dat Sie können die Datei UserSig.Dat mit jedem Editor erzeugen oder verändern, der in der Lage ist, unformatierten Text auszugeben. Alle Zeilen, die mit einem ';' beginnen, sind Kommentarzeilen. TbGenSig ignoriert diese Zeilen. Zeilen, die mit '%' beginnen, werden im oberen TbGenSig-Fenster angezeigt. In der ersten Zeile wird der Name des Virus erwartet. Die zweite Zeile enthält ein oder mehrere Schlüsselworte. Die dritte Zeile enthält die Signatur selbst. Diese drei Zeilen zusammen werden als Signatur-Record bezeichnet. IV - 15 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Ein Signatur-Record sollte wie folgt aussehen: Test-Virus exe com inf abcd21436587abcd In der Signatur dürfen Leerzeichen verwendet werden; sie werden von TbGenSig ignoriert. Hinzufügen veröffentlichter Signatur Folgendes müssen Sie tun, um eine veröffentlichte Signatur hinzuzufügen: - Verändern oder erstellen Sie die Datei UserSig.Dat. Die veröffent- lichte Signatur muß ins Format von TbGenSig umgewandelt werden. - Verwenden Sie die Schlüsselworte COM EXE BOOT INF Sie erhalten etwa folgende Zeilen: Neuer Virus exe com boot inf 1234abcd5678efab - Starten Sie TbGenSig. Definieren einer Signatur mit TbScan Dieses Kapitel richtet sich an fortgeschrittene Benutzer, die eine TBAV.KEY-Datei oder eine Thunderbyte-Einsteckkarte besitzen. Auch wenn die TbScan.Sig-Datei ständig auf den neusten Stand gebracht wird, können jeden Tag neue Viren erzeugt werden, die damit den regu- lären Upgrade-Service überholen. Es ist deshalb möglich, daß Ihr Computer eines Tages von einem Virus befallen wird, der noch nicht in die Signaturen-Datei aufgenommen worden ist. TbScan wird in einem solchen Fall den Virus nicht immer entdecken, auch nicht unbedingt mit der heuristischen Suche. Wenn Sie überzeugt sind, daß Ihr System von einem Virus infiziert ist, ohne daß TbScan dies bestätigt, dann hilft Ihnen dieses Kapitel mit einem wertvollen Werkzeug, um undokumentierte Viren zu entdecken. Wir bieten Ihnen eine schrittweise Erklärung, wie Sie im Notfall eine Signatur erstellen, um Sie (zeitweise) zu Ihrer Kopie von TbScan.Sig hinzuzufügen. - Kopieren Sie einige der infizierten Dateien in ein vorübergehend angelegtes Verzeichnis. - Starten Sie den Computer erneut und booten Sie dabei von einer virenfreien und schreibgeschützten Diskette. Führen Sie AUF KEINEN FALL IRGENDEIN Programm des infizierten Systems aus, auch wenn Sie davon ausgehen, daß das Programm noch nicht infiziert ist. IV - 16 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV - Starten Sie TbScan von einer schreibgeschützten Diskette aus. Geben Sie dabei die Startoption 'extract' an. Vergewissern Sie sich, daß das vorübergehend angelegte Verzeichnis mit den infizierten Dateien das Zielverzeichnis von TbScan ist. Die Option 'extract' bewirkt, daß TbScan die Dateien NICHT scannt, sondern statt dessen die ersten Instruktionen anzeigt, die an den Einsprungpunkten der infizierten Programme gefunden werden. => Bitte beachten Sie die ausdrückliche Empfehlung, auch die Option 'session' zu verwenden, um TbScan anzuweisen, eine log-Datei zu schrei- ben, die die Ausgabe des Programms protokolliert. - Vergleichen Sie die von TbScan ermittelten 'Signaturen' miteinander. Sie könnten zum Beispiel wie folgt aussehen: NOVIRUS1.COM 2E67BCDEAB129090909090ABCD123490CD NOVIRUS2.COM N/A VIRUS1.COM 1234ABCD5678EFAB909090ABCD123478FF VIRUS2.COM 1234ABCD5678EFAB901234ABCD123478FF VIRUS3.COM 1234ABCD5678EFAB9A5678ABCD123478FF Wenn sich die 'Signaturen' völlig unterscheiden, so sind die Dateien entweder nicht infiziert, oder es handelt sich bei dem infizierenden Virus um einen polymorphen Virus. Ein solcher Virus kann in verschie- denen Codemustern auftreten, und es ist ein AVR-Modul notwendig, um ihn zu entdecken. - Die 'Signaturen' können sich geringfügig unterscheiden. An solchen nicht übereinstimmenden Stellen können Sie als Platzhalter ein Fragezeichen '?' verwenden. Eine mögliche Signatur für den 'Virus' im obigen Beispiel könnte sein: 1234ABCD5678EFAB ?3 ABCD123478FF Das '?3' bedeutet, daß an dieser Stelle drei unbestimmte Bytes sein können, die bei der Überprüfung nicht kontrolliert werden. - Fügen Sie die Signatur der Datei UserSig.Dat hinzu. Geben Sie dem Virus in der ersten Zeile seines Eintrags einen Namen. Geben Sie in der zweiten Zeile die folgenden Schlüsselworte an: COM, EXE, INF, ATE. In der dritten Ziele folgt nun die Signatur. Sie erhalten folgenden Text: Neuer Virus exe com ate inf 1234abcd5678efab?3abcd123478ff - Starten Sie TbGenSig. Vergewissern Sie sich, daß sich die neue TbScan.Sig-Datei im selben Verzeichnis wie TbScan befindet. IV - 17 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV - Lassen Sie TbScan das Verzeichnis mit den infizierten Dateien über- prüfen. TbScan sollte nun den Virus entdecken. - Schicken Sie ein paar der infizierten Dateien an einen empfohlenen Virenexperten, vorzugsweise natürlich an uns. Gratulation! Sie haben ganz alleine eine Signatur erstellt! Nun können Sie alles nach dem neuen Virus durchsuchen lassen. Bedenken Sie jedoch, daß die durchgeführte Methode der Virensuche eine schnelle aber wenig gründliche Lösung des Virenproblems ist. Die erstellte Signatur könnte den Virus nicht in allen Fällen erkennen. Eine Signatur, die garantiert alle Formen eines Virus entdeckt, kann nur nach vollständiger Unter- suchung (Disassemblierung) des Virenprogrammcodes erstellt werden. Aus diesem Grund sollten Sie Ihre selbsterstellte Signatur auch nicht weiterverbreiten. Die von einem erfahrenen Anti-Viren-Fachmann zusammen- gesetzte Signatur sieht in den meisten Fällen völlig anders aus. 5.3 Schlüsselworte Schlüsselworte werden für verschiedene Zwecke verwendet. Sie lassen sich in Kategorien einteilen. Schlüsselworte können durch Leertasten, Kommata oder Tabulatoren voneinander getrennt werden. Zeilen können maximal 80 Bytes lang sein. Wenigstens eine der folgenden Anweisungen müssen angeben werden: BOOT, COM, EXE, HIGH, LOW, SYS oder WIN. Anweisungs-Schlüsselworte BOOT Die Signatur kann im Bootsektor/Partitionstabelle gefunden werden. COM Die Signatur kann in COM-Programmen gefunden werden. Diese Anweisung läßt den Scanner diese Signatur in ausführbaren Dateien suchen, die keinen 'EXE-header' oder 'device-header' haben. => Beachten Sie: Der Dateiinhalt bestimmt den Dateityp, nicht die Erweite- rung des Dateinamens! EXE Die Signatur kann in EXE-Programmen gefunden werden. Diese Anweisung läßt den Scanner diese Signatur im Lademodul von EXE- Dateien suchen. EXE-Dateien sind Dateien, die einen EXE-header enthalten. => Beachten Sie: Der Dateiinhalt bestimmt den Dateityp, nicht die Erweite- rung des Dateinamens! HIGH Die Signatur kann im oberen Speicherbereich (oberhalb der Pro- gramme) gefunden werden. Diese Anweisung läßt den Scanner die Signatur oberhalb des Speicherbereichs suchen, der vom Scanner belegt ist. IV - 18 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Damit können Viren entdeckt werden, die schon beim Booten Speicher belegen oder die die Größe des letzten MCBs (Memory Control Block) verkleinern. => Beachten Sie: Die Anweisung HIGH meint nicht, daß Viren im hohen Spei- cherbereich (UMB = Upper Memory Blocks) gesucht werden. LOW Die Signatur kann im unteren Speicherbereich gefunden werden. Diese Anweisung läßt den Scanner die Signatur im Speicher unter- halb des PSP (Program Segment Prefix) des Scanners und im hohen Speicherbereich (UMB Upper Memory Blocks) suchen. Diese Anweisung ist für Viren gedacht, die sich bereits im Speicher be- finden und hierfür den DOS-TSR-Funktionsaufruf verwendet haben. SYS Die Signatur kann in SYS-Programmen gefunden werden. WIN Die Signatur kann in Windows-Programmen gefunden werden. Meldungs-Schlüsselworte DAM Meldungspräfix: 'zesrtört von'. DROP Meldungspräfix: 'Schlepper von'. FND Meldungspräfix: 'gefunden'. INF Meldungspräfix: 'infiziert von' Meldungssuffix: 'Virus' JOKE Meldungspräfix: 'Witzprogramm namens'. OVW Meldungspräfix: 'überschrieben von'. PROB Meldungsprä-Präfix: 'wahrscheinlich'. TROJ Meldungspräfix: 'Trojanisches Pferd namens'. Positions-Schlüsselworte UATE Die Signatur soll am definierten Einsprungpunkt (Unresolved (AT) Entry point) gefunden werden. Zweck: Die Signatur startet direkt am definierten Einsprungpunkt des Virencodes. Bei manchen polymorphen Viren kann es möglich sein, eine Signatur von der Entstellungs-Routine zu machen, allerdings kann diese zu klein sein oder Fehlalarme bei einer umfassenden Suche auslösen. Eine Verzweigungs-Rou- tine am Anfang kann Teil der Signatur sein. Dateien vom Typ COM : Beginn der Datei (IP 0100h). Dateien vom Typ EXE : CS:IP wie im EXE-Header definiert. Dateien vom Typ WIN : Non-DOS CS:IP des neuen EXE-Header. IV - 19 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV Anmerkung: Das Schlüsselwort UATE ist nicht für Signaturen vom Typ BOOT, SYS, LOW, HMA oder HIGH erlaubt. ATE Die Signatur soll am tatsächlichen Beginn (AT Entry point) gesucht werden. Zweck: Die Signatur startet direkt am tatsächlichen Beginn des Virencodes. Bei manchen polymorphen Viren kann es möglich sein, eine Signatur von der Entstellungs-Routine zu machen, allerdings kann diese zu klein sein oder Fehlalarme bei einer umfassenden Suche auslösen. Das Schlüsselwort ATE wird verwendet, um sicherzustellen, daß der Scanner nicht in der gesamten Datei, sondern nur am Einsprungspunkt nach der Sig- natur sucht. Der Einsprungpunkt eines Virus ist als das erste Byte definiert, das keine JUMP SHORT-, JUMP LONG- oder CALL NEAR-Anweisung darstellt. Definierter Einsprungpunkt: 1 JUMP LONG 3 2 ... 3 JUMP SHORT 5 4 ... 5 CALL FAR 7 6 ... 7 CALL NEAR 9 8 ... Tatsächlicher Einsprungpunkt: 9 POP <reg> Der Einsprungpunkt des oben aufgeführten Fragmentes ist die Zeile 9, da sie die erste ausführbare Anweisung enthält, die kein JUMP SHORT, JUMP LONG oder CALL NEAR oder CALL FAR ist. Anmerkungen: 1) Der Einsprungspunkt kann von einem Code-Analysator bestimmt werden, um mit Tricks wie NOP- oder DEC-Instruktionen gerade vor der Verzweigungsinstruktion fertig zu werden. Daher sind die Ergebnisse des Scanners sorgfältig zu überprüfen. In Problem- fällen kann die TbScan-Option 'extract' verwendet werden, um herauszufinden, was TbScan als Einsprungpunkt des Programms be- trachtet. 2) Das Schlüsselwort ATE ist nicht für Signaturen vom Typ BOOT, SYS, LOW, HMA oder HIGH erlaubt. XHD Die Signatur kann am Offset 2 der Datei mit EXE-Typ gefunden werden. Zweck: Dieses Positions-Schlüsselwort wird selten benutzt. Es sollte nur verwen- det werden, um die wirklich sehr seltenen Hochsprachen-Viren zu entdek- ken. Diese Viren werden in einer Hochsprache wie C oder Basic program- miert. Sie verwenden Standard- und Bibliotheksroutinen, die nicht geeig- IV - 20 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV net sind, um eine Signatur zu erstellen. Das Schlüsselwort XHD kann als letzter Versuch dienen, um solche Viren aufzuspüren. Anmerkung: Das Schlüsselwort XHD sollte nur für Signaturen beim Typ EXE oder WIN verwendet werden. 5.4. Platzhalter In einer Viren-Signatur können Platzhalter anstelle von Bytes verwendet werden, um sogenannten polymorphen (sich selbst modifizierend/mutierend) zu erkennen. Es folgt eine Beschreibung der Schreibweise der Platzhalter. Alle Zeichen sind hexadezimal dargestellt. Positions-Platzhalter. Positions-Platzhalter beeinflussen die Position der Signaturteile, die mit dem Virencode verglichen werden. Skip ?n = Überspringe (skip) n Bytes und fahre fort. ?@nn = Überspringe nn Bytes und fahre fort. nn soll 7F nicht überschreiten. Variable *n = Überspringe bis zu n Bytes. *@nn = Überspringe bis zu nn bytes und fahre fort. nn sollte 1F nicht überschreiten. Opcode-Platzhalter. Der 'opcode'-Platzhalter ist gedacht, um einen Bereich von Instruktionen abzudecken: Low opcode nL = Ein Wert im Bereich von n0-n7. High opcode nH = Ein Wert im Bereich von n8-nF. Beabsichtigte Verwendung für den 'opcode'-Platzhalter: Nehmen wir an, ein polymorpher Virus stellt einen Wert in ein Word- Register (unter Verwendung der MOV WREG,VALUE-Instruktion), inkrementiert ein Register (mit der INC WREG-Instruktion) und schiebt ein Word-Register vom Stack (mit einer POP-Instruktion). Die Register und die Werte sind dabei unbestimmt. Der Code könnte wie folgt aussehen: bh4l5h IV - 21 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV B8-BF sind die Opcodes für 'MOV WREG,VALUE', 40-47 sind die opcodes für 'INC WREG' und 58-5F sind die Opcodes für 'POP REG'. Beispiel Um die Möglichkeiten der Benutzung der geeigneten Schlüsselworte und Platzhalter zu zeigen, wird hier die Signatur des Haifa.Mozkin-Virus vorgetellt. Dieser Virus ist in höchstem Maße polymorph und verschlüsselt. Er ver- wendet einen kleinen variablen Entschlüssler, um den Virus zu ent- schlüsseln. Hier gibt es zwei Probleme: Die meisten Bytes sind verschlüsselt oder variabel und nicht als Teil einer Signatur geeignet, und der Rest ist kurz und könnte dutzende Fehlalarme auslösen. Allerdings ist es mit den geeigneten Schlüsselworten und Platzhaltern möglich, eine passende Signatur zu erstellen. Die folgende Signatur wird von TbScan verwendet, um den Haifa.Mozkin-Virus zu finden. Haifa.Mozkin com exe ate inf bh?2bh?109?2*22e80?24l4h75fl Untersuchen wir die Signatur: Die erste Zeile gibt den Namen des Virus an. Die zweite Zeile teilt dem Scanner mit, die Signatur in Dateien vom Typ COM und EXE zu suchen. Der Scanner soll die Datei als infiziert melden, wenn eine Übereinstimmung gefunden wird. Das Schlüsselwort ATE weist den Scanner an, die Signatur nur am tatsächlichen Einsprungpunkt der Datei zu suchen. Der Virus beginnt natürlich mit der Entschlüsselung von sich selbst, so daß der Scanner garantiert diese Stelle erreicht. Das Schlüsselwort ATE reduziert die Suche der Signatur nur auf eine bestimmte Stelle der Datei, wodurch die Möglichkeit von Fehlalarmen deutlich verringert wird. Die dritte Zeile enthält die Definition der Signatur. Sehen wir uns diese jetzt genauer an: bh?2 Bedeutung: ein Byte im Bereich B8-BF, gefolgt von zwei be- liebigen Bytes. B8-BF ist eine 'MOV WREG,VALUE'-Instruktion. Von dem Register wissen wir nur, daß es sich um ein Word- Register handelt, dessen Wert unbekannt ist. bh?109 Bedeutung: eine andere 'MOV WREG,VALUE'-Instruktion. Das Register ist ein Word-Register, der Wert liegt zwischen 0900 und 09FF. IV - 22 TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV ?2*2 Bedeutung: Überspringe zwei bis vier Bytes. Viren versuchen so, die Erstellung von Signaturen zu erschweren. 2e80?2 Bedeutung: der Virus führt eine arithmetische Operation in Bytegröße aus, mit einem sofortigen Ergebnis (entschlüsselt ein Byte) unter Übergehung des CS-Segments. Die genaue Operation, der Speicherplatz und der Wert sind unbekannt. 4l Bedeutung: ein Byte im Bereich 40-47. Dies ist eine 'INC WREG'-Instruktion. Die Viren erhöhen den Zähler auf das nächste Byte, das entschlüsselt werden soll. 4h Bedeutung: ein Byte im Bereich 48-4F. Dies ist eine 'DEC WREG'-Instruktion. Die Viren verringern die Iterationszahl. 75fl Opcode 75 ist eine JNZ-Instruktion. Wenn das verringerte Register noch nicht gleich Null ist, springt der Virus zurück und wiederholt die Operation. Wie weit springt er? Das sagt der Teil 'fl': zwischen -70h (F0h) und -77h (F7h) Bytes. Auch wenn die Möglichkeiten der Signaturenbeschreibungssprache von TbGenSig wirklich sehr vielfältig sind, so gibt es doch Viren, die so hochgradig polymorph sind, daß sie noch speziellere Platzhalter, Schlüsselworte oder noch raffiniertere Untersuchungsalgorithmen er- fordern. Die Erklärung dieser Platzhalter, Schlüsselworte und Algo- rithmen wäre jedoch so aufwendig, daß sie den Rahmen dieses Handbuches sprengen würde. IV - 23 TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A ANHANG A. TBAV-Meldungen The TBAV Utilities zeigen während ihrer Ausführung zahlreiche Meldungen an. Die meisten davon sind eindeutig. Hier erhalten Sie einige er- gänzende Hinweise. TbClean Starting clean attempt. Analyzing infected file ... Start des Wiederherstellungsversuchs. Analysiere infizierte Datei... TbClean analysiert die infizierte Datei und versucht die Informa- tionen der Anti-Vir.Dat-Datei zu finden. Anti-Vir.Dat record found: reconstructing original state ... Anti-Vir.Dat-Informationen gefunden: Rekonstruiere Original-Status... Die zur infizierten Datei gehörenden Informationen der Anti-Vir.Dat- Datei wurden gefunden. TbClean verwendet diese Informationen für die Wiederherstellung der Datei. Anti-Vir.Dat record found: information matches the current state of file. Anti-Vir.Dat file was created after the infektion. Trying emulation ... Anti-Vir.Dat-Informationen gefunden: Informationen stimmen mit der Datei überein. Anti-Vir.Dat wurde nach der Infektion erstellt. Versuche Emulation... Die zur infizierten Datei gehörenden Informationen der Anti-Vir.Dat- Datei wurde gefunden, aber die Informationen stimmen mit dem aktu- ellen Zustand der Datei völlig überein. Die Anti-Vir.Dat-Datei wurde erstellt, nachdem die Datei infiziert wurde, oder die Datei wurde überhaupt nicht verändert. TbClean wird die Emulation verwenden, um die Datei mit der heuristischen Methode zu säubern. Reconstruction failed. Program might be overwritten. Trying emulation... Wiederherstellung fehlgeschlagen. Programm möglicherweise überschrieben. Versuche Emulation... TbClean hat mit Hilfe der Informationen, die in der Anti-Vir.Dat- Datei gespeichert waren, versucht, die Originaldatei wiederherzu- stellen. Doch dieser Versuch schlug fehl. TbClean wird die Emulation verwenden, um die Datei mit der heuristischen Methode zu säubern. Reconstruction successfully completed. Wiederherstellung erfolgreich beendet. Mit Hilfe der Informationen der Anti-Vir.Dat-Datei konnte der ur- sprüngliche Zustand der Datei wiederhergestellt werden. Die CRC (Prüfsumme) der Originaldatei und die der virenbefreiten Datei stimmen vollständig überein. Folglich stimmt die virenbefreite Datei mit größter Sicherheit mit der Originaldatei überein. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A Anti-Vir.Dat record not found: original state unknown. Trying emulation... Anti-Vir.Dat-Informationen nicht gefunden. Original-Status unbekannt. Versuche Emulation... Die Anti-Vir.Dat-Datei existiert nicht oder enthält keine Informatio- nen über die infizierte Datei. Daher ist TbClean der ursprüngliche Zustand der Datei nicht bekannt. TbClean wird in seinen heuristischen Modus wechseln, um den Zustand der Originaldatei zu ermitteln. Beachten Sie: Um eine Situation wie diese zu vermeiden, sollten Sie sich vergewissern, daß Sie mit TbSetup die Anti-Vir.Dat-Dateien er- stellt haben. Diese Dateien sind für TbClean äußerst hilfreich. Wenn die Datei bereits infiziert ist, ist es zum Erstellen der Anti- Vir.Dat-Dateien bereits zu spät. Emulation terminated: <reason> Emulation beendet: <Grund> Der Emulationsvorgang wurde aus dem angeführten Grund abgebrochen. TbClean wird nun die gesammelten Informationen prüfen, um zu ent- scheiden, ob die Datei wiederhergestellt werden kann. Ein <Grund> dafür kann sein: Jump to BIOS code Sprung in den BIOS-Code Der Virus versucht BIOS-Code aufzurufen oder direkt in den BIOS-Code zu springen. Dieser Vorgang kann nicht emuliert werden und wird daher abgebrochen. Das Programm kann wahr- scheinlich nicht vom Virus befreit werden. Approached stack crash. Nähert sich einem Stack-Zusammenbruch. Das emulierte Programm nähert sich einem Zusammenbruch. Während das Programm emuliert wurde, ging etwas schief. Daher wird es abgebrochen. Das Programm kann wahrscheinlich nicht wiederhergestellt werden. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A Attempt to violate license agreements. Versuch, Lizenzvereinbarungen zu verletzen. Aus offensichtlichen Gründen wird TbClean dieses Programm nicht disassemblieren. Encountered keyboard input request. Auftreten einer Tastaturabfrage. Das emulierte Programm versucht, von der Tastatur zu lesen. Ein Verhalten, das für Viren sehr ungewöhnlich ist. Wahr- scheinlich ist die Datei gar nicht infiziert. Encountered an invalid instruction. Auftreten einer ungültigen Instruktion. Der Emulator ist auf eine unbekannte Instruktion gestoßen. Die Emulation schlug aus irgendwelchen Gründen fehl. Das Programm kann wahrscheinlich nicht desinfiziert werden. DOS program-terminate request. Programmbeendigungsaufforderung an DOS. Das emulierte Programm fordert DOS auf, die Ausführung des Programms zu beenden. Das Programm ist entweder keinesfalls infiziert oder von einem überschreibenden Virus infiziert, der die Kontrolle nicht an das infizierte Programm weitergibt. Das Programm kann nicht desinfiziert werden. Jumped to original program entry point. Sprung zum Originaleinsprungspunkt. Das Programm ist an die Startposition zurückgesprungen. Es ist sehr wahrscheinlich infiziert. Das Programm kann wahr- scheinlich wiederhergestellt werden. TbDriver Another version of TbDriver is already resident! Sie haben ein Programm TbDriver.Exe mit einer anderen Ver- sionsnummer oder einem anderen Prozessortyp aufgerufen als das schon speicherresidente TbDriver-Programm. Can not remove TbDriver. Unload other TSRs first! Sie versuchten TbDriver aus dem Speicher zu entfernen, ob- wohl andere speicherresidente Programme nach TbDriver gestar- tet wurden. Speicherresidente Programme können nur in umge- kehrter Reihenfolge ihres Ladens aus dem Speicher entfernt werden. TbDriver was not resident. Sie versuchten TbDriver aus dem Speicher zu entfernen, obwohl TbDriver gar nicht speicherresident geladen war. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A Invalid use of option 'net'. Die Option 'net' hat beim ersten Aufruf von TbDriver keine Auswirkung. LAN support was already installed. Sie verwendeten die Option 'net' ein weiteres Mal, oder TbDriver hat die Netzwerkunterstützung schon automatisch aktiviert. This version of TbDriver requires a <typeID> processor. Sie verwenden eine speziell für einen Prozessortyp optimierte Version von TbDriver, die mit dem vorhandenen Prozessor nicht kompatibel ist. TbScan Befehlszeilenfehler! (Command line error!) Es wurde eine ungültige oder unzulässige Option in der Befehlszeile benutzt. Keine ausführbaren Dateien gefunden! Das angegebene Verzeichnis existiert nicht, ist leer oder die angegebene Datei existiert nicht oder ist keine ausfür- bare Datei. Logfile (Protokolldatei) kann nicht erstellt werden! Der angegebene Pfad ist unzulässig, das Laufwerk ist voll oder schreibgeschützt bzw. die Datei existiert schon und kann nicht überschrieben werden. Selbsttest zeigt Fehler! (Sanity check failed!) TbScan hat entdeckt, daß seine interne Prüfsumme nicht mehr stimmt. TbScan ist möglicherweise selbst von einem Virus in- fiziert. Beschaffen Sie sich eine virenfreie Kopie von TbScan auf einer SCHREIBGESCHÜTZTEN, bootfähigen Diskette. Starten Sie von dieser Diskette aus neu, und versuchen Sie es noch einmal! [Datendatei kann nicht gelesen werden] TbScan braucht den Zugang zu seiner Datendatei, um Ihnen den Namen des Virus' mitteilen zu können. Hat TbScan keinen Zu- griff auf diese Datei erscheint diese Meldung anstelle des Viren-Namens. TbScanX Data file not found. TbScanX war nicht in der Lage, die Daten-Datei zu finden. Not enough memory. Es ist nicht genügend Speicherplatz vorhanden, um die Daten- Datei zu verarbeiten. Versuchen Sie die Verwendung von Aus- lagerungen, oder wenn Sie diese schon verwenden, versuchen Sie einen anderen Auslagerungsmodus. Siehe auch Kapitel IV, Abschnitt "Speicheranforderungen". TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B ANHANG B. TbScan - Beschreibung der heuristischen Flags # - Instruktions-Entschlüsselungs-Routine gefunden Die Datei enthält möglicherweise eine Selbstentschlüsselungs-Routine. Einige kopiergeschütze Programme sind verschlüsselt und verursachen des- halb eine solche Meldung. Sollte diese Meldung jedoch in Verbindung mit anderen erscheinen, z. B. der Meldung 'T', könnte ein Virus die Ursache sein, und TbScan geht davon aus, daß die Datei infiziert ist. Viele Viren entschlüsseln sich selbst und veranlassen so diese Meldung. ! - Beschädigter Programmcode Ungültiger Befehlscode (nicht 8088-Instruktion) oder eine Programmver- zweigung außerhalb des Bereichs. Das Programm hat entweder eine Einsprungstelle außerhalb des Bereichs der Datei oder weist eine Aneinanderreihung von 'Sprüngen' auf, die bis zu einer Stelle außerhalb der Programmdatei verfolgt werden kann. Eine andere Möglichkeit ist, daß das Programm ungültige Prozessorinstruk- tionen enthält. Das überprüfte Programm ist wahrscheinlich beschädigt und kann in den meisten Fällen nicht ausgeführt werden. Trotzdem geht TbScan hier kein Risiko ein und überprüft mit Hilfe der 'Scan'-Methode die Datei. ? - Widersprüchlicher Programmkopf Das untersuchte Programm besitzt einen Exe-Programmkopf (Exe-Header), der nicht den vorliegenden Programmaufbau widerspiegelt. Das DOS-Programm SORT.EXE verursacht eine solche Warnung, denn die tatsächliche Programm- größe ist geringer als die im Programmkopf angegebene Größe des zu ladenden Moduls. Viele Viren aktualisieren den Exe-Programmkopf einer EXE-Datei nicht korrekt, nachdem sie eine Datei infiziert haben. Sollte diese Warnung häufiger auftauchen, dann haben Sie wahrscheinlich ein Problem. Im Fall des DOS-Programms SORT.EXE sollten Sie die Warnung je- doch ignorieren (Wir hoffen, daß Microsoft diesen Fehler vor Erscheinen der nächsten DOS-Version korrigiert hat). c - Keine Integritätsprüfung Diese Warnung besagt, daß keine Prüfsummen- und Wiederherstellungsinfor- mationen für die betreffende Datei gefunden wurden. Es wird dringend empfohlen, in diesem Fall mit TbSetup die Informationen dieser Datei anzulegen. Diese Informationen können später für die Integritätsprüfung und die Wiederherstellung der Datei Verwendung finden. h - Versteckte Datei oder Systemdatei Die Datei ist mit den Datei-Attributen 'Versteckt' oder 'System' ver- sehen. Das heißt, daß die Datei, obwohl sie in einer DOS-Verzeichnis- anzeige nicht sichtbar ist, dennoch von TbScan geprüft wird. Sollten Sie Herkunft und/oder den Zweck dieser Datei nicht kennen, so kann es sich um ein 'Trojanisches Pferd' oder einen 'Witz'-Virus handeln. Als erstes kopieren Sie diese Datei auf eine Diskette, löschen sie dann aus ihrem Programmumfeld und prüfen, ob das betroffene Programm die Datei vermißt. Sollte das Programm die gelöschte Datei nicht vermissen, dann haben Sie etwas zusätzlichen Speicherplatz auf Ihrer Festplatte gewonnen und Ihr System vielleicht vor kommenden Katastrophen bewahrt. i - Internes Overlay Die überprüfte Datei besitzt, wie auch im EXE-Programmkopf aufgeführt, hinter dem Lade-Modul zusätzliche Daten oder Programmcode. Dabei könnte TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B es sich um programminterne Overlays, also nur zeitweise ladbare Pro- grammteile, oder um Konfigurations- oder Debug-Informationen handeln, die hinter dem Lade-Modul der EXE-Datei angehängt wurden. p - Gepackte oder komprimierte Datei Das Programm wurde gepackt oder komprimiert. Es gibt einige Utilities, wie etwa EXEPACK oder PKLITE, die die Fähigkeit haben, Programmdateien zu komprimieren. Sollte die Datei infiziert worden sein, nachdem sie komprimiert wurde, kann TbScan den Virus entdecken. Wurde die Datei je- doch infiziert, bevor sie komprimiert wurde, und mit ihr auch der Virus, dann kann kein Virenscanner den Virus mehr entdecken. w - Windows- oder OS/2-Programmkopf Das Programm ist für die Verwendung in einer Windows- (oder OS/2-) Um- gebung bestimmt oder geplant worden. Bis jetzt bietet TbScan noch keine spezielle Scanmethoden für solche Dateien. Das wird sich natürlich ändern, sobald Windows- oder OS/2-spezifische Viren auftreten werden. A - Verdächtige Speicherzuweisung Das Programm verwendet einen nicht standardgemäßen Weg, um nach Speicher zu suchen und/oder ihn zu belegen. Viele Viren versuchen, sich im Speicher zu verstecken und verwenden deshalb nicht standardgemäße Wege, um Speicher für sich zu belegen. Einige Programme (Programme zum Laden in den hohen Speicherbereich und Diagnoseprogramme) verwenden oft eben- falls solche Methoden, um freien Speicher zu suchen und zu belegen. B - Zurück zur Einsprungsstelle Das Programm scheint einigen Code auszuführen und danach zur Programmein- sprungstelle zurückzuspringen. Normalerweise führt dies zu einer Endlos- schleife, es sei denn, das Programme hätte ebenfalls einige seiner eige- nen Instruktionen verändert. Dies ist ein übliches Vorgehen von Computer- viren. In Verbindung mit anderen Warnungen meldet TbScan einen Virus. C - Veränderte Datei Diese Warnung kann nur dann erscheinen, wenn Sie mit TbSetup Anti- Vir.Dat-Dateien angelegt haben. Die Warnung besagt, daß die Datei verän- dert wurde. Wenn Sie die Software nicht durch eine neuere Version ersetzt haben, ist es sehr wahrscheinlich, daß ein Virus die Datei infiziert hat. Bedenken Sie, daß TbScan diese Meldung nicht anzeigt, wenn nur Änderungen der Programmkonfiguration in einem speziellen Bereich der Datei abgelegt wurden. Diese Warnung besagt, daß der Programmcode an der Einsprungstelle des Programms, die Einsprungstelle selbst und/oder die Dateilänge sich geändert haben. D - Direkter Schreibzugriff Dieser Buchstabe wird dann angezeigt, wenn das überprüfte Programm in der Nähe der Einsprungstelle Instruktionen für direkte Schreibzugriffe auf die Datenträger hat. Es ist völlig normal, daß einige Utilities für die Bearbeitung von Disketten und Festplatten so gemeldet werden. Wenn jedoch mehrere normale Programme (die nichts mit direkten Schreibzugriffen zu tun haben) mit dieser Meldung angezeigt werden, könnte Ihr Computer von einem unbekannten Virus infiziert worden sein. => Beachten Sie, daß nicht jedes Programm, das direkte Schreibzugriffe durchführt, auch gemeldet wird. TbScan meldet dies nur, wenn sich die Instruktionen für den direkten Schreibzugriff in der Nähe der Programm- TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B einsprungstelle befinden. Sollte es sich um einen Virus handeln, dann befinden sich die gefährlichen Instruktionen immer in der Nähe der Ein- sprungstelle, und nur dort sucht TbScan nach ihnen. E - Flexible Einsprungsstelle Das Programm startet mit einer Routine, die ihre eigene Position in der Programmdatei feststellt. Ein ziemlich verdächtiger Vorgang, denn selbst Sound-Programme haben eine festgelegte Einsprungsstelle und müssen des- halb ihre Position nicht erst feststellen. Für Viren ist dieses Verhalten hingegen üblich: bei ungefähr 50% aller bekannten Viren wird diese Mel- dung angezeigt. F - Verdächtiger Dateizugriff TbScan ist auf verdächtige Instruktionssequenzen gestoßen, die für die von Viren verwendeten Infektionsmechanismen üblich sind. Diese Meldung erscheint bei Programmen, die Dateien erzeugen oder bestehende modifi- zieren können. G - Unsinnige Instruktionen Das Programm enthält Code, der keinen anderen Zweck zu haben scheint, als das Verschlüsseln oder das Verstecken vor der Entdeckung durch Viren- scanner. Diese Meldung ist äußerst wichtig, denn es ist die einzige, die TbScan ohne weitere Meldungen veranlaßt, eine Vireninfektion am Bild- schirm anzuzeigen. In den meisten Fällen können auch gar keine anderen Meldungen erscheinen, da eine solche Datei eben verschlüsselt ist, und die Instruktionen vor dem Scanner verborgen sind. In seltenen Fällen er- scheint die Warnung auch bei 'normalen' Dateien. Diese Dateien sind dann aber schlecht programmiert, was der Grund für diese Meldung ist. J - Verdächtige Sprungkonstruktion Das Programm startet nicht an der Programmeinsprungstelle. Es gibt minde- stens zwei Sprünge, bevor der wirkliche Start-Code erreicht wird, oder das Programm verwendet Sprungbefehle mit indirekten Operanden. Sound- Programme sollten eine solche Art von ungewöhnlichem Verhalten nicht zeigen. Werden viele Dateien mit dieser Meldung angezeigt, sollten Sie Ihr System gründlich untersuchen. K - Ungebräuchlicher Stack Die überprüfte EXE-Datei besitzt einen ungeradzahligen (anstelle eines geradzahligen) Stack-Offset oder ein verdächtiges Stack-Segment. Viele Viren sind sehr fehlerhaft und setzen dabei einen unzulässigen Stack-Wert. L - Programmladefalle Das Programm könnte die Ausführung anderer Programme überwachen. Sollte die Datei außerdem mit dem Buchstaben 'M' (speicherresidenter Code) ge- meldet werden, ist es sehr wahrscheinlich, daß es sich um ein speicher- residentes Programm handelt, das feststellt, wann ein anderes Programm ausgeführt werden soll. Viele Viren überwachen auf diese Art das Laden von Programmen und benutzen diesen Vorgang, um sie zu infizieren. Auch einige Anti-Viren-Programme überwachen so das Laden von Programmen, um Viren zu entdecken. M - Speicherresident-Code TbScan ist auf Instruktionssequenzen gestoßen, die das Programm in die Lage versetzen können, sich in wichtige Interrupts einzuklinken. Viele TSR-Programme (Terminate and Stay Resident) lösen diese Meldung aus, da TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B das Einklinken in Interrupts für solche Programme erforderlich ist. Trotzdem sollten Sie auf der Hut sein, wenn mehrere eigentlich nicht speicherresidente Programme mit dieser Meldung angezeigt werden. Es ist dann sehr wahrscheinlich, daß Ihre Dateien von einem Virus infiziert wurden, der resident im Speicher geladen bleibt. Bedenken Sie, daß diese Warnung nicht bei allen tatsächlichen TSR-Pro- grammen gemeldet wird. Auch kann man sich nicht darauf verlassen, daß die Entdeckung der TSR-Fähigkeit in Nicht-TSR-Programmen immer zuverlässig ist. N - Falsche Dateinamenserweiterung Namenskonflikt. Das Programm hat die Dateinamenerweiterung .EXE, scheint aber eigentlich eine ganz gewöhnliche Datei vom Typ .COM zu sein bzw. das Programm trägt die Bezeichnung .COM, besitzt aber den inneren Aufbau einer Datei vom Typ .EXE. In so einem Fall geht TbScan kein Risiko ein und überprüft die Datei auf Signaturen vom EXE- und vom COM-Typ. Eine falsche Dateinamenerweiterung kann in manchen Fällen auf eine Virenin- fektion hinweisen, in den meisten Fällen allerdings nicht. O - Überschriebener Code Diese Meldung wird angezeigt, wenn TbScan entdeckt, daß das Programm einige seiner eigenen Instruktionen überschreibt. Jedoch scheint es über keine vollständige Ent-/Verschlüsselungsroutine zu verfügen. R - Verdächtige Lageverschiebung Die Meldung 'R' bezieht sich auf verdächtige Verschiebungbefehle. Gemeint ist eine Instruktionssequenz, die die Lage des CS:IP verschiebt. Viren verwenden diese Methode häufig, besonders die, die Dateien vom COM-Typ infizieren. Die Überprüfung einer großen Anzahl von Viren hat ergeben, daß TbScan diese Meldung bei 65% aller Viren ausgibt. Diese Viren müssen die Lage des CS:IP verschieben, weil sie für eine spezielle Position im Speicher der ausführbaren Datei kompiliert wurden; ein Virus, der ein anderes Programm infiziert, kann jedoch seine ursprüngliche Position in der Datei nicht beibehalten, da er ja ans Ende der Datei angehängt wird. Sound-Programme kennen ihren Platz in den ausführbaren Dateien und müssen sich nicht selbst verschieben. Bei Computern, die normal benutzt werden, sollte sich nur eine sehr kleine Anzahl von Programmen finden, die diese Meldung verursachen. S - Suche nach ausführbaren Dateien Das überprüfte Programm sucht nach *.COM oder *.EXE Dateien. Das alleine deutet noch nicht auf einen Virus hin, ist aber ein Bestandteil der meisten Viren (um sich selbst zu verbreiten, müssen Viren nach geeigneten Dateien suchen). Sollte diese Meldung in Verbindung mit anderen angezeigt werden, so nimmt TbScan an, daß die Datei infiziert ist. T - Beschädigte Zeitmarke Die Zeitangabe der letzten Änderung an der Datei ist ungültig: z. B. ist die angegebene Sekundenzahl oder das Datum unmöglich oder die Jahreszahl liegt nach dem Jahr 2000. Das ist verdächtig, denn viele Viren setzen die Datei-Zeitangabe auf einen unzulässigen Wert (wie beispielsweise 62 Sekunden), um die Datei so als schon infiziert zu markieren. Auf diese Weise kann der Virus verhindern, daß er eine Datei zweimal infiziert. Es ist möglich, daß das überprüfte Programm von einem unbekannten Virus in- fiziert wurde, besonders dann, wenn viele Ihrer Dateien eine ungültige Zeitangabe haben. Wenn nur sehr wenige Programme eine ungültige Zeitan- TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B gabe haben, sollten Sie diese einfach korrigieren und regelmäßig scannen, um sicherzustellen, daß die Zeitangaben gültige Werte behalten. U - Undokumentierter Interrupt/DOS-Aufruf Das Programm verwendet unbekannte DOS-Aufrufe oder Interrupts. Diese unbekannten Aufrufe können benutzt werden, um undokumentierte Möglich- keiten von DOS zu verwenden oder um mit einem unbekannten Treiber im Speicher zu kommunizieren. Da viele Viren mit undokumentierten Fähigkei- ten von DOS arbeiten oder mit speicherresidenten Teilen einer zuvor ge- ladenen Instanz des Virus kommunizieren, ist es verdächtig, wenn sich ein Programm unbekannter oder undokumentierter Kommunikationsmethoden be- dient. Ein solches Verhalten muß aber nicht notwendigerweise auf einen Virus hinweisen, denn einige 'trickreiche' Programme arbeiten ebenfalls mit undokumentierten Aufrufen. V - Zugelassenes Programm Das Programm wurde zugelassen, damit ein Fehlalarm vermieden wird. - Der Aufbau des Programms würde bei der heuristischen Analyse von TbScan normalerweise einen Fehlalarm auslösen; oder: - Das Programm könnte sich regelmäßig ändern. Daher wurde es von der Integritätsprüfung ausgeschlossen. Diese Ausnahmen werden in der Anti-Vir.Dat-Datei von TbSetup (auto- matisch) oder TbScan (von Hand) gespeichert. Y - Ungültiger Bootsektor Der Bootsektor entspricht nicht vollständig dem von IBM definierten Boot- sektor-Format. Es ist wahrscheinlich, daß der Bootsektor einen Virus ent- hält oder beschädigt wurde. Z - EXE/COM-Bestimmung Das Programm scheint zu prüfen, ob eine Datei eine COM- oder EXE-Datei ist. Eine COM-Datei zu infizieren, unterscheidet sich grundsätzlich davon, eine EXE-Datei zu infizieren. Daher muß ein Virus, der beide Dateitypen infizieren kann, sie auch unterscheiden können. Natürlich gibt es auch "unschuldige" Programme, die herausfinden müssen, ob eine Datei eine COM- oder eine EXE-Datei ist. Beispielsweise enthalten Programme, die andere Programme komprimieren, Konvertierungsprogramme wie EXE2COM, Debugger und Programme, die andere in den hohen Speicherbereich laden, solche Routinen, die den Unterschied zwischen COM- und EXE-Dateien erkennen können. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C ANHANG C. Lösen von Kompatbilitätsproblemen Obwohl die TBAV-Utilities so programmiert wurden, daß sie gut mit an- deren speicherresidenten Programmen zusammenarbeiten können, ist dies bei anderer Programmen nicht unbedingt genauso, was zu Systemfehlern oder Schlimmerem führen kann. Problem: Wenn eines der TBAV-Utilities versucht, eine Nachricht anzu- zeigen, erscheint der Text 'message file <Dateiname> could not be opened'. Lösung: Geben Sie hinter dem Aufruf des TbDriver-Programms den ganzen Pfadnamen der Meldungs-Datei an, die Sie verwenden möchten. Geben Sie keine Datei an, wird die Datei TbDriver.Lng verwendet. Problem: Sie arbeiten mit einem Netzwerk. TbScanX wurde erfolgreich gestartet, aber zeigt bei Dateizu- griffen nicht die Meldung "*scanning*" an und entdeckt auch keine Viren. TbCheck wurde erfolgreich installiert, aber zeigt bei Dateizu- griffen nicht die Meldung "*checking*" an und entdeckt auch keine Viren. TbFile wurde erfolgreich installiert, aber es entdeckt über- haupt nichts mehr. TbMem wurde erfolgreich installiert, aber es entdeckt keine TSR-Programme mehr. Lösung: Starten Sie TbDriver mit der Option "net", nachdem des Netzwerk gestartet wurde. Problem: Das System hängt sich manchmal auf, während die Meldung "*scanning*" oder "*checking*" angezeigt wird. Das Problem ist schwer reproduzierbar. Der Computer hängt sich manchmal auf, wenn Sie 'NO' (Ausführung NICHT verhindern) auf eine Mel- dung von TbMem, TbFile oder TbDisk antworten. Lösung: Versuchen Sie die Verwendung des Programms StackMan. StackMan ist Bestandteil des TBAV-Programmpaketes. TbScanX: Bringt der Einsatz von StackMan keine Besserung, können Sie versuchen, TbScanX ohne die Optionen 'ems' oder 'xms' zu verwenden. Wenn TbScanX dann ohne Probleme arbeitet, setzen Sie die Option 'ems' oder 'xms' wieder ein, zusammen mit der Option 'compat'. Bei einigen wenigen Systemen kann die 'xms'-Option gar nicht benutzt werden kann, da die Verwendung von Extended Memory durch speicherresidente Pro- gramme nicht zulässig ist. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C Problem: Es ist nicht möglich, ein bestimmtes TSR-Programm nach TbScanX zu laden. Das TSR meldet, daß es schon in den Speicher geladen wurde, was jedoch nicht richtig ist. Lösung: Verwenden Sie die Option 'compat', wenn Sie TbScanX laden. Denn die Ursache ist, daß das TSR-Programm und TbScanX den selben Multiplex-Interrupt-Aufruf verwenden. Problem: Alles arbeitet korrekt, aber sobald Sie ein ganz bestimmtes speicherresidentes Programm starten, hängt sich der Computer auf, nachdem sich das TSR resident in den Speicher geladen hat. Die TbScanX-Option 'compat' löst das Problem nicht. Lösung: Benutzen Sie StackMan mit der Option '-dos' und versuchen Sie es erneut. Problem: Nachdem Sie einem Programm erlaubt haben, im Speicher resident zu werden, fragt TbMem beim nächsten Aufruf des Programms wieder. Lösung: 1) Die Startoption 'secure' von TbDriver wurde verwendet. Ent- fernen Sie sie. Versuchen Sie es nach einem Neustart Ihres Computers erneut. 2) Das besagte Programm taucht in der Datei Anti-Vir.Dat nicht auf, weshalb TbMem die Erlaubnis nicht abspeichern kann. Er- zeugen Sie mit TbSetup die nötigen Informationen für das Programm. Problem: Der Computer hängt sich manchmal auf, wenn Sie mit 'YES' (Ausführung verhindern) auf eine Meldung von TbMem antworten. Lösung: Keine. Einige speicherresidente Programme greifen so tiefgehend in den Computer ein, bevor sie speicherresident werden, daß nach einer gewaltsamen Entfernung aus dem Speicher das System nicht mehr stabil arbeitet. Problem: Wenn Sie TbDisk von der DOS-Befehlszeile aus aufrufen, arbeitet zunächst alles richtig. Starten Sie TbDisk hingegen von der config.sys oder der autoexec.bat aus, warnt es ständig vor direkten Schreibzugriffen. Lösung: Verschieben Sie den Aufruf von TbDisk ans Ende der Autoexec.Bat. Problem: Sie formatierten mit dem DOS-Programm FORMAT.COM die Festplatte, aber TbDisk meldete nichts, bis der Vorgang beinahe beendet war. Lösung: Dies ist kein Problem. Ein Formatierungsprogramm wie FORMAT.COM formatiert die Festplatte nicht, sondern liest alle Spuren ein, TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C um möglicherweise defekte Stellen zu finden. Danach wird die Dateizuordnungstabelle FAT und die Verzeichnisstruktur geleert. Nur dieser letzte Schritt ist ein Schreibzugriff, so daß auch nur er von TbDisk bemerkt wird. Problem: Nachdem ich einem Programm einmal die Erlaubnis für direkte Zugriffe erteilt habe, fragt TbDisk bei der nächsten Verwendung des Programms wieder nach. Lösung: 1) Die Option 'secure' von TbDriver wurde verwendet. Entfernen Sie diese Option, starten Sie den Computer erneut und versu- chen Sie es noch einmal. 2) Das fragliche Programm erscheint nicht in der Datei Anti- Vir.Dat, weshalb TbDisk den Hinweis auf die Erlaubnis nicht abspeichern kann. Verwenden Sie TbSetup, um den betreffenden Eintrag in der Datei Anti-Vir.Dat zu erstellen! Problem: Wenn Sie in Windows den schnellen 32-Bit-Zugriff verwenden möchten, meldet Windows beim Starten einen Fehler. Lösung: Verwenden Sie beim Aufruf von TbDisk die Option 'win32'. TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG D ANHANG D. Exit-Codes TbScan endet mit der Rückgabe eines der folgenden Exit-Codes an DOS. Errorlevel 0 Keine Viren gefunden / kein Fehler aufgetreten 1 Keine Dateien gefunden 2 Fehler aufgetreten 3 Dateien haben sich geändert 4 Virus durch heuristische Analyse gefunden 5 Virus durch Signaturen-Suche gefunden 255 Fehler bei Selbsttest TbUtil endet mit der Rückgabe eines der folgenden Exit-Codes: Errorlevel 0 Kein Fehler aufgetreten 1 Wenn Option 'compare' fehlgeschlagen oder ein Fehler aufgetreten ist Alle anderen Utilities enden mit der Rückgabe eines der folgenden Exit-Codes: Errorlevel 0 Kein Fehler aufgetreten 1 Fehler aufgetreten TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG E ANHANG E. Benennung von Viren Wieviele Viren werden von TbScan entdeckt? Bei den meisten der von TbScan verwendeten Signaturen handelt es sich um Signaturenfamilien: Jede einzelne Signatur deckt eine Vielzahl von Viren ab; alle diese Viren sind miteinander 'verwandt'. Z.B. deckt die Jerusalem-Signatur mehr als 100 Viren ab. Aus diesem Grund kann man nicht sagen, wieviele Viren TbScan entdeckt. Einige vergleichbare Programme betrachten jede einzelne Mutante als ei- nen separaten Virus und behaupten daher, mehr als 2000 Viren entdecken zu können. Obwohl TbScan nur mit 1000 Signaturen arbeitet, entdeckt das Programm bei weitem mehr Viren als 'nur' 1000. Wenn Sie Virenscanner vergleichen wollen, sollten Sie auf die in Fachmagazinen häufig publi- zierten Tests zurückgreifen. Die Namenskonventionen für Viren TbScan folgt bei der Viren-Benennung den Empfehlungen der CARO. Die CARO ist eine Organisation, in der führende Anti-Viren-Forscher zusammenge- schlossen sind. Viren sind in einem hierarchisch aufgebauten Baum ange- ordnet, an welchem abzulesen ist, zu welcher Familie ein Virus gehört. TbScan zeigt den vollständigen CARO-Namen an, wenn dies möglich ist. Andere Anti-Viren-Proukte hingegen zeigen entweder nur den Familien- namen oder nur den Mitgliedsnamen an. So wird beispielsweise der 'Leprosy.Seneca.493'-Virus nur mit dem Familienname 'Leprosy' oder dem Mitgliedsnamen 'Seneca' oder sogar nur mit dem Variantennamen '493' angegeben. Anti-Viren-Produkte, die nicht von CARO-Mitgliedern entwickelt wurden, können sogar völlig andere Namen verwenden. TbScan versucht jedoch, den Namen so vollständig als möglich anzuzeigen. Kann TbScan z.B. nicht zwischen dem 'Leprosy.Seneca.493'- und dem 'Leprosy.Seneca.517'-Virus unterscheiden, werden beide Viren als 'Leprosy.Seneca' bezeichnet. Manche Viren mutieren häufig. Um alle Stufen eines solchen Virus zu entdecken, ist es manchmal notwendig, Mehrfach-Siganturen einzusetzen. Obwohl diese Signaturen ein und denselben Virus abdecken, haben Sie eine etwas andere Darstellung: Hinter dem Virenname sehen Sie eine Nummer in spitzen Klammern. Diese hat nichts mit dem Namen des Virus zu tun, sie hat lediglich interne Funktionen.